экономика информационной безопасности

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
САНКТ-ПЕТЕРБУРГСКИЙ НАЦИОНАЛЬНЫЙ
ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И ОПТИКИ
А.И. Войтик
В.Г. Прожерин
ЭКОНОМИКА
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Учебное пособие
Санкт-Петербург
2012
УДК 338:004.056.5(075.8)
ББК 65.29я.73+32.81я73
А.И. Войтик, В.Г. Прожерин
Экономика информационной безопасности: Учебное пособие. – СПб.: НИУ
ИТМО, 2012. – 120 с.
Учебное пособие состоит из трёх разделов: Раздел 1 – Лекционный материал.
В доступной форме излагаются знания научных основ по экономическим
проблемам защиты и страхования информации; раздел 2 – Практические
занятия. Задачей данного раздела является привитие навыков применения
теоретических знаний при решении экономических задач; в разделе 3
представлены тесты по приведенному материалу.
Учебное пособие предназначено для обучения студентов по специальности
090900.68 «Информационная безопасность» со специализацией «Мониторинг
и прогнозирование информационных угроз» по дисциплинам М1.2.В1
«Экономика и управление» и М1.1.1 «Управление проектами».
Одобрено на заседании Ученого Совета Института комплексного военного
образования 16.03.2012, протокол № 3.
© Санкт-Петербургский национальный
исследовательский
университет
информационных
технологий
механики и оптики, 2012
© Прожерин В.Г., 2012
© Войтик А.И., 2012
3
ВВЕДЕНИЕ
В первое десятилетие XXI века значение информации многократно
возросло, информация приобрела огромную ценность не только с точки
зрения государственной тайны, но и в коммерческом плане. Сокращение
времени на проектирование, жесткая конкуренция на рынке IT технологий,
многократное увеличение продукции на рынке телекоммуникационных
систем и устройств увеличило риск выпуска «неконкурентной» продукции.
Желание заглянуть, «а что там разрабатывается у соседей», привело к
широкомасштабному проникновению в бизнес систем и методик,
заимствованных из военных структур. Зачастую технологии на
«гражданском» рынке опережают и военные разработки. Соответственно,
каждая самостоятельная фирма стремиться обезопасить себя от
«нежелательных наблюдателей». И здесь возникает проблема: как рассчитать
стоимость затрат на безопасность? Где та золотая середина между
финансовыми потерями от недостаточной информационной защищенности
организации и банкротства от чрезмерного удорожания систем и средств
защиты? Решению этой проблемы экономистами уделяется огромное
значение. Предложено большое количество методик и разработок для расчета
стоимостных показателей информационной безопасности. Как правило, они
сводятся к двум основным направлениям:
– Определение степени значимости (секретности) той или иной
информации, исходя из требований законодательных документов и/или
решений руководства фирмы;
– Установление соответственно определенных весов тем или иным
угрозам.
При этом, в описаниях угроз ИБ и программных средствах их оценки,
широко представленных на рынке зарубежными и отечественными
разработчиками, используются классификации и алгоритмы, имеющие, как
правило, отраслевой или законодательный "крен" и напрасно не отражающие
специфику угроз верхнего уровня ИБ.
Учебное пособие разработано в соответствии с учебной программой
подготовки студентов и предназначено для более глубокого изучения
учебной дисциплины «Экономика зашиты информации» и представлено в
следующих формах:
Раздел 1. Лекционный материал предполагает: доведение до обучаемых, в
простой и доступной форме, знаний научных основ по экономическим
проблемам защиты и страхования информации, методов расчета затрат на
создание и функционирование систем защиты информации и оценки ее
эффективности; привитие навыков решения проблем в области
экономического обеспечения защиты государственной тайны. В результате
изучения курса студенты должны иметь представление:
–
о месте информации в структуре общественного производства, ее
роли как ресурса экономики и фактора производства;
4
–
об
основах
обеспечения
экономической
безопасности
государства, общества, личности; уровнях и объектах экономической
безопасности, методах ее обеспечения;
–
о правовых основах и основных положениях определения
экономической эффективности защиты информации;
–
об основных факторах, определяющих величину ущерба,
нанесенного владельцу информации вследствие отсутствия или
недостаточной надежности систем защиты информации.
Раздел 2. Практические занятия. Задачей данного раздела является
привитие навыков применения теоретических знаний при решении
экономических задач.
Раздел предполагает оказание помощи студентам при решении
практических задач и организации их самостоятельной работы над изучением
учебного материала. В разделе также представлены разноплановые задачи,
рассмотрены основные показатели деятельности организации: формы и системы
оплаты труда, издержки производства и себестоимость продукции, а также
основные фонды и оборотные средства. Уровень сложности предлагаемых
заданий соответствует требованиям подготовки специалистов технических
специальностей высшего учебного заведения.
Задачи снабжены необходимыми пояснениями к решению, формулами, а
также контрольными вопросами к проверке знаний по основным разделам
дисциплины. Математические выкладки расчетов позволят студентам следить за
ходом решения задач.
Раздел 3. В учебном пособии представлены тесты по приведенному
материалу, а также варианты разработки бизнес-плана.
5
ГЛАВА 1
ЭКОНОМИЧЕСКИЕ ПРОБЛЕМЫ ИНФОРМАЦИОННЫХ
РЕСУРСОВ И ЗАЩИТЫ ИНФОРМАЦИИ
1.1. Рынок информации. Информация как товар, цена информации.
Основные характеристики продукта – информации, как товара
Информация как товар имеет свою специфику, отличающую ее от
других товаров:
1) она является одновременно и предметом труда и средством труда, что
объединяет ее с таким фактором производства, как земля. Однако она
отличается от последней тем, что не обладает природными качествами;
2) принимает и форму продукта труда, и форму услуги. Это обусловлено
расширенной трактовкой информационного сектора общественного
производства, который структурно включает в себя широкий спектр отраслей,
связанных с производством, распределением, хранением, обработкой и
конечным использованием информации, а также отраслей, производящих для
всех вышеперечисленных средства производства;
3) товарную форму и стоимостную оценку имеет лишь небольшая часть
информации, циркулирующей в обществе;
4) информация (и продукт, и услуга) является объектом
персонифицированной собственности, информация как услуга не
отчуждается от собственника в актах купли-продажи, что отличает ее от
знания, которое не имеет персонифицированного собственника;
5) обладает относительной ценностью. Информация ради информации
ценности не имеет. Ценность определяется относительно какой-либо цели,
для достижения которой совершается сбор и обработка информации;
6) обладает ценностью не только для отдельного потребителя, но и
свойством всеобщей полезности с точки зрения развития человеческого
общества в целом. Из мира товаров можно выделить только деньги,
обладающие этим же свойством всеобщности, но у них понятие всеобщности
связано с эквивалентностью в обмене. Информация же таким свойством
обладает в сфере потребления, а отсюда вытекает следующее свойство:
7) обладает свойством многократного использования. В отличие от
других факторов производства, которые также могут использоваться
многократно (например, земля), информация не теряет своих
потребительских свойств.
Больше того, если производительное использование энергии, сырья,
материалов, топлива ведет к их физическому потреблению (расходованию) и
увеличению энтропии в природе, то использование целесообразной
информации дает совершенно противоположный эффект, способствует
умножению и накоплению научных знаний, повышению степени
организованности окружающей среды и общественных систем, уменьшению
энтропии;
6
8) с точки зрения интересов фирмы информация является носителем
знания о внутренней и внешней среде фирмы, о самой фирме и о ее
продуктах труда, превращая внутреннюю и внешнюю среду фирмы в
«информационное пространство»;
9) с точки зрения интересов человеческого общества в целом,
информация является инструментом интеллектуализации окружающей
человека среды (в какой бы стране он не проживал), превращая эту среду в
«инфосферу»;
10) выступает как кодифицируемое, или как оформленное знание,
поскольку процесс его передачи требует специфической, удобной для
приобретения и использования.
В
силу
этого
информация
дополнительно
обладает
воспроизводственными особенностями:
1) в производстве продукции, услуги – защищена от копирования и
выступает в различных формах интеллектуальной собственности;
2) в распределении продукции – незащищена и легко может быть
скопирована;
3) в обмене – информация сама имеет товарную форму, ценность которой
определяется не столько затратами, сколько предпочтениями;
4) в потреблении продуктов и услуг является товаром-спутником, а в ее
собственном потреблении зависит от способности пользователя
распорядиться информацией с максимальным эффектом.
Как отмечалось в работах зарубежных экспертов 2-3% мирового
населения – это граждане супериндустриального общества.
Их специфическое отличие в том, что они уже включились в новый
ускоренный темп жизни. Они живут «быстрее», чем окружающие. Однако
нарастающий темп жизни вступает в определенное противоречие со
способностью человека к адаптации. Не каждому дано использовать в полной
мере все возможности информационных потоков.
Носителем закодированной информации могут быть:
1) вещество в любой опредмеченной форме;
2) энергия;
3) процесс;
4) явление.
Величайшая познавательная проблема, стоящая перед экономической
наукой – квантифицировать (т.е. измерить) воздействие информации на
экономическую жизнь и выразить этот наиважнейший фактор в финансовых
категориях. И нет ни одного способа производительного приложения труда,
который в то же самое время не был бы приложением информации. Отсюда
исследователи данного вопроса делают вывод, что инструменты и машины,
будучи овеществленным трудом, являются в то же время овеществленной
информацией.
Поскольку информация является важнейшим фактором производства,
соответственно она переносит свою стоимость на стоимость создаваемого
товара (услуги), то есть имеет в ее структуре определенный вес. Наиболее
7
общим определением стоимости на сегодняшний день является объединение
полезности и издержек производства товара, как равноправных, и
независимых сил.
Произвести информацию – это значит понести определенные затраты
на ее добычу, то есть понести затраты на восприятие свойств тех процессов,
которые касаются отношений между людьми по поводу наиболее
эффективного распределения ограниченных ресурсов для удовлетворения
наибольшего круга безграничных потребностей. Вне зависимости от того,
воспринял экономический субъект информацию, или же нет – она
объективно существует. Поэтому суть процесса производства информации
заключается в том, чтобы извлечь из этой объективно существующей
«информационной массы» определенные ее «части», посредством их
восприятия. Именно затраты на подобное вычленение и составляют
стоимость информации, если ее рассматривать с позиций издержек
производства.
Информация, как один из составных элементов структуры стоимости
самой информации, измеряется теми же факторами – трудовыми затратами
человека и информацией, а в итоге их денежным выражением. Человек
просто-напросто не воспримет информацию, не обладая другой,
необходимой для ее восприятия информацией – более низкого уровня. Таким
образом, мы дойдем до такого уровня информации, воспринимая которую
человек не затрачивает труд – это, например, элементарная информация об
окружающем нас мире, которую человек получает непроизвольно
посредством своих органов чувств. То есть, здесь уже идет речь о получении
экономической информации человеком, а не о ее производстве. А,
обрабатывая эту элементарную информацию посредством своих умственных
способностей, человек осуществляет уже производство информации более
высокого уровня, вовлекая в качестве ресурсов труд и собственно саму
информацию.
В соответствии с международным стандартом по информационной
безопасности ISO 27001iso17799 стоимость информационного ресурса
определяет его собственник. Информация это не материальный объект,
который можно объективно измерить, это скорее свойство материи. Она, в
отличие от данных, зависит не от носителя, а от способа обработки
информации и всегда хранится в закодированном виде.
Де-юре, стоимость информации не определена ни в одном российском
законе. Стоимость государственной информации определяется косвенным
путем присвоением грифа секретности для информации разного уровня. По
степени секретности можно косвенным образом догадаться о ее стоимости. О
реальной стоимости этой грифованой информации мы узнаем очень редко и
только в тех случаях, когда некий шпион передает информацию зарубежной
разведке. Тогда мы с удивлением узнаем, что информация, переданная
шпионами, практически бесценна для государства и может составлять
многие миллионы долларов.
8
Но никаким официальным документом стоимость информации до кражи
не определяется. Во время войн, кризисных ситуаций стоимость информации
резко возрастает, и многие разведчики буквально охотятся даже за
незначительной информацией, но которая может принести огромные
преимущества в решении конфликта.
Рассмотрим, что же такое есть цена информации? Поскольку мы уже
обращали внимание на то, что информация все более и более становится
товаром, все чаще возникает необходимость ее оценки не только с точки
зрения количества и качества, но и с точки зрения ее денежного эквивалента.
Информация и знания рассматриваются сейчас как интеллектуальный
капитал, новое богатство организации.
При энтропическом подходе каждая корпорация имеет свою
обобщенную модель делового мира, основанную на информации, которой
она обладает – это влияет на доходы и расходы организации. Модель
позволяет выявить узкие места и потенциальные возможности, определить
параметры, которые влияют на качество продукта и на запросы потребителя и
т.д. Как только информация становится более точной, способность
корпорации конкурировать на рынке возрастает. То есть, информация для
корпорации – это явный актив, достояние, ценность. А если это так, то
информация, как и всякий актив организации, должна иметь денежное
измерение, рассмотрим несколько способов измерения цены информации.
1 способ. Упрощенный подход к измерению цены информации. В
случае свободного рынка истинная цена информации – та, за которую ее
рынок покупает. Однако, часто необходимо оценить такую информацию,
которая не предназначена для открытого рынка – внутреннюю информацию
организации, например, необходимую организации для принятия того или
иного решения.
2 способ. Измерение цены информации ценой эквивалентного
экономического показателя. Способ основан на концепции: «Человек (или
организация) действуют не в ответ на реальность, а в ответ на построенную
для себя версию реальности». То есть, всегда существует промежуток, зазор
между построенными принципами и реальностью.
1.2. Экономические проблемы информационных ресурсов
В соответствии с действующим Федеральным законом «Об информации,
информационных технологиях и защите информации» 2006 года
информационные ресурсы предприятия, организации, учреждения, банка,
компании
и
других
государственных
и
негосударственных
предпринимательских структур включают в себя отдельные документы и
отдельные массивы документов (дела), документы и комплексы документов в
информационных системах (библиотеках, архивах, фондах, банках данных
компьютеров и других информационных системах) на любых носителях, в
9
том числе обеспечивающих работу вычислительной и организационной
техники.
Информационные ресурсы (информация) являются объектами
отношений физических и юридических лиц между собой и государством. В
совокупности они составляют информационные ресурсы России и
защищаются законом наряду с другими видами ресурсов.
Документирование информации (создание официального документа)
является обязательным условием включения информации в информационные
ресурсы. Следует учитывать, что документ может быть не только и даже не
столько управленческим (деловым), имеющим в большинстве случаев
текстовую, табличную или анкетную форму. Большие объемы наиболее
ценных
документов
представлены
в
изобразительной
форме:
конструкторские документы, картографические, научно-технические,
документы на фотографических, магнитных и иных носителях.
По принадлежности к тому или иному виду собственности
информационные
ресурсы
могут
быть
государственными
или
негосударственными, и, как элемент состава имущества, находиться в
собственности граждан, органов государственной власти, исполнительных
органов, органов местного самоуправления, государственных учреждений,
организаций
и
предприятий,
общественных
объединений,
предпринимательских структур.
В соответствии с интересами обеспечения национальной безопасности и
степенью ценности для государства, а также правовыми, экономическими и
другими интересами предпринимательских структур информационные
ресурсы могут быть:
а) открытыми, т.е. общедоступными, используемыми в работе без
специального разрешения, публикуемыми в средствах массовой информации,
оглашаемыми на конференциях, в выступлениях и интервью;
б) ограниченного или запрещенного доступа, т.е. содержащими
сведения, составляющие тот или иной вид тайны и подлежащие защите,
охране, наблюдению и контролю.
Накопители информационных ресурсов представляют собой пассивные
концентраторы этой информации и включают в себя:
1) публикации о фирме и ее разработках;
2) рекламные издания, выставочные материалы, документацию;
3) персонал фирмы и окружающих фирму людей;
4) физические поля, волны, излучения, сопровождающие работу
вычислительной и другой офисной техники, различных приборов и средств
связи и т.п.
Источники содержат информацию как открытого, так и ограниченного
доступа. Причем информация того и другого рода находится в едином
информационном пространстве и разделить ее без тщательного
содержательного анализа часто не представляется возможным. Например,
систематизированная совокупность открытой информации может в комплексе
содержать сведения ограниченного доступа.
10
Документация, как источник информации ограниченного доступа может
включать:
1)
документацию,
содержащую
сведения
ограниченного
распространения и представления;
2) комплексы обычной деловой и научно-технической документации,
содержащей общеизвестные сведения, организационно-правовые и
распорядительные документы;
3) рабочие записи сотрудников, их служебные дневники, личные
рабочие планы, переписку по производственным вопросам;
4) личные архивы сотрудников фирмы.
В каждой из указанных групп могут быть:
1) документы на традиционных бумажных носителях (листах бумаги,
ватмане, фотобумаге и т.п.);
2) документы на технических носителях (магнитных, фотопленочных и
т.п.);
3) электронные документы, банки электронных документов,
изображения документов на экране дисплея (видеограммы).
При выполнении управленческих и производственных действий любая
информация всегда распространяется во внешней среде. Тем самым
увеличивается число опасных источников разглашения или утечки
информации ограниченного доступа, источников, подлежащих учету и
контролю.
Каналы распространения информации носят объективный характер,
отличаются активностью и включают в себя:
1) деловые, управленческие, торговые, научные и другие
коммуникативные регламентированные связи;
2) информационные сети;
3) естественные технические каналы излучения, создания фона.
Канал распространения информации представляет собой путь
перемещения сведений из одного источника в другой в санкционированном
(разрешенном, законном) режиме или в силу объективных закономерностей.
Документированные информационные ресурсы, которые используются
предпринимателем в бизнесе и управлении фирмой, являются его
собственной или частной информацией, представляющей для него
значительную ценность. Эта информация составляет интеллектуальную
собственность предпринимателя.
Ценность информации может быть стоимостной категорией и
характеризовать конкретный размер прибыли при ее использовании или
размер убытков при ее утрате. Информация часто становится ценной ввиду
ее правового значения для фирмы или развития бизнеса, например:
учредительные документы, программы и планы, договоры с партнерами и
посредниками и т.д. Ценность может проявляться в ее перспективном
научном, техническом или технологическом значении.
Обычно выделяется два вида информации, интеллектуально ценной для
предпринимателя:
11
1) техническая, технологическая: методы изготовления продукции,
программное обеспечение, производственные показатели, химические
формулы, рецептуры, результаты испытаний опытных образцов, данные
контроля качества и т.п.;
2) деловая: стоимостные показатели, результаты исследования рынка,
списки клиентов, экономические прогнозы, стратегия действий и т.п.
Ценная информация охраняется нормами права (патентного, авторского,
смежных прав и др.), товарным знаком или защищается включением ее в
категорию информации, составляющей коммерческую тайну.
Процесс выявления и регламентации реального состава ценной
информации,
составляющей
коммерческую
тайну,
является
основополагающей частью системы защиты информации на предприятии.
Состав этих сведений фиксируется в специальном перечне,
закрепляющем факт отнесения их к защищаемой информации и
определяющем период (срок) конфиденциальности (т.е. недоступности для
всех) этих сведений, уровень (гриф) их конфиденциальности, список
сотрудников фирмы, которым дано право использовать эти сведения в
работе.
В основе перечня лежит типовой состав защищаемых сведений фирм
данного профиля. Перечень является постоянным рабочим материалом
руководства
фирмы,
служб
безопасности
и
конфиденциальной
документации. Он представляет собой классифицированный список типовой
и конкретной ценной информации о проводимых работах, производимой
продукции, научных и деловых идеях, технологических новшествах.
Следует отметить, что нельзя ограничивать доступ к информации,
относящейся к новой продукции, но не имеющей ценности.
При заключении любого договора (контракта) стороны должны брать на
себя взаимные письменные обязательства по защите конфиденциальной
информации другой стороны и документов, полученных при переговорах,
исполнении условий договора.
Производственная или коммерческая ценность информации, как
правило, недолговечна и определяется временем, необходимым конкуренту
для выработки той же идеи или ее хищения и воспроизводства, а также
временем до патентования, опубликования и перехода в число
общеизвестных.
Документированная информация ограниченного доступа всегда
принадлежит к одному из видов тайны – государственной или
негосударственной. В соответствии с этим документы делятся на секретные и
несекретные.
Обязательным признаком (критерием принадлежности) секретного
документа является наличие в нем сведений, составляющих в соответствии с
законодательством государственную тайну.
Несекретные документы, включающие сведения, относимые к
негосударственной
тайне
(служебной,
коммерческой,
банковской,
12
профессиональной, производственной и др.), или содержащие персональные
данные граждан, именуются конфиденциальными.
Несмотря на то, что конфиденциальность является синонимом
секретности, термин широко используется исключительно для обозначения
информационных ресурсов ограниченного доступа, не отнесенных к
государственной тайне. Конфиденциальность отражает ограничение, которое
накладывает собственник информации на доступ к ней других лиц, т.е.
собственник устанавливает правовой режим этой информации в соответствии
с законом.
Конфиденциальность документов всегда имеет значительный разброс по
срокам ограничения свободного доступа к ним персонала фирмы (от
нескольких часов до значительного числа лет). Следует учитывать, что
основная масса конфиденциальных документов после окончания их
исполнения или работы с ними теряет свою ценность и конфиденциальность.
Например, переписка до заключения контракта может иметь гриф
конфиденциальности, но после его подписания этот гриф с письменного
разрешения первого руководителя фирмы снимается.
Следовательно, конфиденциальные документы характеризуются
специфическими особенностями, которые отражают их сущность как
носителей информации ограниченного доступа и определяют построение
системы защиты этой информации.
Все информационные ресурсы предприятия (учреждения) постоянно
подвергаются объективным и субъективным угрозам утраты носителя или
ценности информации.
Под угрозой или опасностью утраты информации понимается единичное
или комплексное, реальное или потенциальное, активное или пассивное
проявление неблагоприятных возможностей внешних или внутренних
источников угрозы создавать критические ситуации, события, оказывать
дестабилизирующее воздействие на защищаемую информацию, документы и
базы данных.
Риск угрозы любым (открытым и ограниченного доступа)
информационным ресурсам создают стихийные бедствия, экстремальные
ситуации, аварии технических средств и линий связи, другие объективные
обстоятельства, а также заинтересованные и незаинтересованные в
возникновении угрозы лица.
Для информационных ресурсов ограниченного доступа диапазон угроз,
предполагающих утрату информации (разглашение, утечку и т.д.)
значительно шире в результате того, что к этим документам проявляется
повышенный интерес со стороны различного рода злоумышленников. В
отличие от объективного распространения утрата информации влечет за
собой незаконный переход конфиденциальных сведений, документов к
субъекту, не имеющему права владения, распоряжения ими и использования
в своих целях.
Обязательным
условием
успешного
осуществления
попытки
несанкционированного доступа к информационным ресурсам ограниченного
13
доступа является интерес к ним со стороны конкурентов, определенных лиц,
служб и организаций. При отсутствии такого интереса угроза информации не
возникает даже в том случае, если создались предпосылки для ознакомления
с ней постороннего лица.
Следовательно, утрата информационных ресурсов ограниченного
доступа может наступить:
1) при наличии интереса конкурента, учреждений, фирм или лиц к
конкретной информации;
2) при возникновении риска угрозы, организованной злоумышленником
или при случайно сложившихся обстоятельствах;
3) при наличии условий, позволяющих злоумышленнику осуществить
необходимые действия и овладеть информацией.
Эти условия могут включать:
1) отсутствие системной аналитической и контрольной работы по
выявлению и изучению угроз, каналов и степени риска нарушений
безопасности информационных ресурсов;
2) неэффективную систему защиты информации или отсутствие этой
системы;
3) непрофессионально организованную технологию обработки и
хранения конфиденциальных документов;
4) неупорядоченный подбор персонала и текучесть кадров, сложный
психологический климат в коллективе;
5) отсутствие системы обучения сотрудников правилам защиты
информации ограниченного доступа;
6) отсутствие контроля со стороны руководства за соблюдением
персоналом требований нормативных документов по работе с
информационными ресурсами ограниченного доступа;
7) бесконтрольное посещение помещений, где происходит работа с
информационными ресурсами ограниченного доступа, посторонними
лицами.
Следует всегда помнить, что факт документирования резко увеличивает
риск угрозы информации. Великие мастера прошлого никогда не записывали
секреты своего искусства, а передавали их устно сыну, ученику. Поэтому
тайна изготовления многих уникальных предметов того времени так и не
раскрыта до наших дней.
Угрозы
сохранности,
целостности
и
конфиденциальности
информационных ресурсов ограниченного доступа практически реализуются
через риск образования канала несанкционированного получения
(добывания) кем-то ценной информации и документов. Этот канал
представляет собой совокупность незащищенных или слабо защищенных
направлений возможной утраты информационных ресурсов ограниченного
доступа, которые злоумышленник использует для получения необходимых
сведений.
Каждое конкретное предприятие (учреждение) обладает своим набором
каналов несанкционированного доступа к информации, что зависит от
14
множества моментов – профиля деятельности, объемов защищаемой
информации, профессионального уровня персонала, местоположения здания
и т.п.
Функционирование
канала
несанкционированного
доступа
к
информации обязательно влечет за собой утрату информации, исчезновение
носителя информации.
Утрата информации характеризуется двумя условиями: информация
переходит а) непосредственно к заинтересованному лицу – конкуренту,
злоумышленнику или б) к случайному, третьему лицу.
Под третьим лицом в данном случае понимается любое постороннее
лицо, получившее информацию во владение в силу обстоятельств или
безответственности персонала, не обладающее правом владения ею и, что
очень важно, не заинтересованное в этой информации. Однако от третьего
лица информация может легко перейти к злоумышленнику.
Переход информации к третьему лицу представляется достаточно
частым явлением, и его можно назвать непреднамеренным, стихийным, хотя
при этом факт разглашения информации, нарушения ее безопасности имеет
место.
В отличие от третьего лица злоумышленник или его сообщник
целенаправленно охотятся за конкретными информационными ресурсами и
преднамеренно, противоправно устанавливают контакт с источником этих
ресурсов или преобразуют канал их объективного распространения в канал
их разглашения или утечки.
Такие каналы всегда являются тайной злоумышленника.
Таким образом, содержание составных частей элементов, методы и
средства защиты информационных ресурсов в рамках любой системы
защиты должны регулярно изменяться с целью предотвращения их
раскрытия заинтересованным лицом. Конкретная система защиты
информации всегда является строго конфиденциальной, секретной.
15
ГЛАВА 2
ЭКОНОМИЧЕСКАЯ БЕЗОПАСНОСТЬ
2.1. Понятие экономической безопасности государства, общества,
личности
Понятие «экономическая безопасность» относительно новое в лексиконе
российских органов управления экономикой. Это понятие хорошо известно в
практической деятельности управленческих структур западных стран и
допускает весьма широкую ее интерпретацию.
Экономическая безопасность – это категория политэкономии и
политологии, тесно связанная с категориями экономической независимости и
зависимости, стабильности и уязвимости, экономического давления,
шантажа, принуждения и агрессии, экономического суверенитета и т.п.
Как и в безопасности, в общем случае, принято различать следующие
уровни экономической безопасности:
1) международная (глобальная и региональная);
2) национальная;
3) локальная (региональная или отраслевая внутри страны);
4) частная (фирм и личности).
Международная экономическая безопасность – это комплекс
международных
условий
сосуществования
договоренностей
и
институциональных структур, при котором каждому государству – члену
мирового сообщества, обеспечивается возможность свободно избирать и
осуществлять свою стратегию социального и экономического развития, не
подвергаясь внешнему и политическому давлению и рассчитывая на
невмешательство, понимание и взаимоприемлемое и взаимовыгодное
сотрудничество со стороны остальных государств.
Путь к осуществлению международной экономической безопасности
лежит через отказ от навязывания моделей развития, от экономического и
политического принуждения, через признание права любого народа на выбор
собственного пути, через уважение законности существования различных
форм собственности и интересов, через сознание того, что «мирный
дивиденд» возможен не только в военно-стратегических, но и в
экономических
отношениях
по
мере
освобождения
их
от
конфронтационности и ориентации на сиюминутную прибыль. В
долгосрочном плане даже частный капитал выигрывает гораздо больше от
прогресса зарубежных стран, чем от их примитивного ограбления и
эксплуатации.
Правовые гарантии осуществления международной экономической
безопасности заключаются в признании принципов:
–
равноправия государств вне зависимости от социального и
политического строя;
–
свободы выбора пути развития и форм организации
экономической жизни;
16
–
суверенитета государств над природными ресурсами и
экономическим потенциалом в своих странах;
–
взаимовыгодного сотрудничества и свободного развития
экономических, финансовых, научно-технических и иных мирных
отношений между государствами;
–
международного сотрудничества в целях экономического развития
и социального прогресса;
–
специальных льгот в отношении менее развитых стран – членов
мирового сообщества;
–
мирного урегулирования экономических споров без применения
силы или угрозы силой.
Международной экономической безопасности будет способствовать
институционализация ее международно-правовых норм на основе этих
принципов, через заключение двусторонних и многосторонних договоров,
создание и деятельность международных межгосударственных организаций
в целях содействия развитию сотрудничества и экономической безопасности
стран-членов этих организаций.
Необходимость
международной
экономической
безопасности,
стабильности и предсказуемости экономического развития, а также раннего
оповещения о нарушениях его хода видна с наибольшей настоятельностью в
слаборазвитых странах.
Но в этом заинтересованы абсолютно все страны, включая наиболее
развитые.
По мере ее осуществления, международная экономическая безопасность
обеспечит сотрудничество государств в решении не только их национальных
проблем, но и глобальных проблем человечества, и станет материальной
основой мирного сосуществования в безъядерном и ненасильственном мире,
гарантией прогресса в деле ликвидации экономической отсталости и
слаборазвитости.
Национальная экономическая безопасность – это состояние
экономики и институтов власти, при котором обеспечивается гарантированная
защита национальных интересов, гармоничное, социально направленное
развитие страны в целом, достаточный экономический и оборонный
потенциал даже при наиболее неблагоприятных вариантах развития
внутренних и внешних процессов.
Экономическая безопасность страны – защищенность экономических
отношений, определяющих прогрессивное развитие экономического
потенциала страны и обеспечивающих повышение уровня благосостояния
всех членов общества, его отдельных социальных групп и формирующих
основы обороноспособности страны от опасностей и угроз.
Учитывая, что основой экономического развития в современном мире
является научно-технический прогресс, переход к передовым технологиям,
то стержнем экономической безопасности в современных условиях являются
технико-экономическая
независимость
и
технико-экономическая
неуязвимость.
17
Экономическая безопасность России характеризуется возможностью
народного хозяйства России и ее регионов обеспечить стабильное
поступательное развитие и соответствующую защиту экономическими
методами, как интересов отдельного человека, так и субъектов Федерации и
России в целом.
Национальная экономическая безопасность имеет внутреннюю
материально-вещественную основу – достаточно высокий уровень развития
производительных сил, способный обеспечить достаточно важную долю
натуральных и стоимостных элементов расширенного воспроизводства
национального продукта; внутреннюю социально-политическую основу
экономической безопасности – достаточно высокий уровень общественного
согласия в отношении долгосрочных национальных целей, делающий
возможными выработку и принятие стратегии социального и
экономического развития, претворяемой в жизнь через государственную
политику, устойчиво поддерживаемой большинством народа.
По
мере
интернационализации
производства
национальная
экономическая безопасность все более тесно связывается с международной
экономической безопасностью.
Экономическая
безопасность
предприятия
–
состояние
юридических, производственных отношений и организационных связей,
материальных и интеллектуальных ресурсов, при котором обеспечивается
стабильность
функционирования,
финансово-коммерческий
успех,
прогрессивное научно-техническое и социальное развитие.
Раскрыв уровни экономической безопасности, вернемся к существу
данного понятия для нашего государства.
А суть экономической безопасности состоит в обеспечении
экономического развития Российской Федерации с целью удовлетворения
социальных и экономических потребностей граждан Российской Федерации
при оптимальных затратах труда и природоохранном использовании
сырьевых ресурсов и окружающей среды.
Концепция национальной безопасности Российской Федерации
раскрывает, что обеспечение экономической составляющей национальной
безопасности означает нейтрализацию или сведение к минимуму
неблагоприятных внешних и внутренних воздействий на экономику
государства в условиях ее интеграции в мировое хозяйство, мирового
разделения труда, сохранение социально-экономической и политической
стабильности в обществе, устойчивости функционирования всех секторов
экономики, целостности внутриэкономического пространства с целью
повышения уровня и качества жизни российских граждан.
На основе этого разрабатывается государственная стратегия
экономической безопасности РФ – составная часть национальной
безопасности РФ в целом, развивает и конкретизирует соответствующие
положения Концепции национальной безопасности РФ с учетом ее
национальных интересов в области экономики и ориентирована на
реализацию осуществляемых в РФ экономических преобразований.
18
Цель Государственной стратегии экономической безопасности РФ –
обеспечение такого развития экономики, при котором были бы созданы
необходимые и достаточные условия для жизни и всестороннего развития
личности граждан РФ, повышения уровня и качества жизни населения,
сохранения демографической, социально-экономической и политической
стабильности общества, социально-экономической и военно-политической
стабильности государства в целом, обеспечивающей сохранение его
суверенитета и целостности, успешного и эффективного противостояния
влиянию внутренних и внешних угроз.
Проблема экономической безопасности имеет как собственный объект,
так и объекты на пересечении и взаимном проникновении (влиянии) с
другими возможными сферами деятельности: военной, социальной,
политической, экономической, информационной и т.д.
Поэтому
проблему
экономической
безопасности
необходимо
рассматривать
в
собственно
экономической
сфере,
включая
внутриэкономические и внешнеэкономические проблемы, в том числе
проблемы на их стыке: в областях пересечения экономической сферы со
смежными внеэкономическими сферами:
1) военно-экономическая сфера;
2) сфера защиты научно-технического и интеллектуального потенциала
страны;
3) сфера обеспечения общественной безопасности (проблемы теневой
экономики, организованной преступности и коррупции в экономике,
экономических афер, осуществляемых в рамках закона и т.д.);
4) сфера взаимодействия экономики и природы и т.д.;
5) непосредственно в смежных внеэкономических сферах (военной и др.).
К объектам экономической безопасности России относятся
государство, основные элементы экономической системы и экономическая
система государства в целом, все его природные богатства, общество с его
институтами, учреждениями, хозяйствующие субъекты на всех уровнях
экономики и личность, а также их жизненно важные экономические
интересы.
Субъектами
экономической
составляющей
национальной
безопасности
Российской
Федерации
являются
государство,
осуществляющее свои главные функции в этой области через органы
законодательной, исполнительной и судебной властей: функциональные и
отраслевые министерства и ведомства, налоговые и таможенные службы,
соответствующие комитеты Государственной Думы и Федерального Собрания
и т.д., во взаимодействии с другими институтами гражданского общества:
банками, биржами, фондами и страховыми и пенсионными компаниями,
обществом потребителей и т.д., предпринимателями и обществом в целом, а
также хозяйствующие субъекты на всех уровнях экономики: производители и
продавцы продукции, работ и услуг, домашние хозяйства и отдельные
личности.
19
При этом государство является основным субъектом обеспечения
экономической составляющей национальной безопасности.
Предмет государственной деятельности в области экономической
безопасности:
1) определение и мониторинг факторов, подрывающих устойчивость
социально-экономической системы и государства в краткосрочной и
долгосрочной перспективе;
2) формирование и реализация экономической политики и
институциональных преобразований, устраняющих или смягчающих вредное
воздействие этих факторов в рамках единой программы экономической
реформы.
Государственная стратегия экономической безопасности включает в
себя:
1) определение национальных интересов РФ в области экономики;
2) характеристику наиболее вероятных внешних и внутренних угроз
экономической безопасности как совокупности условий и факторов,
создающих опасность жизненно важным экономическим интересам
личности, общества и государства;
3) целевые установки социально-экономической политики развития
страны;
4) определение критериев и параметров состояния экономики,
отвечающих требованиям экономической безопасности и обеспечивающих
защиту жизненно важных интересов страны;
5) систему и механизмы обеспечения экономической безопасности
государства, защиты ее жизненно важных интересов на основе применения
всеми институтами государственной власти правовых, экономических и
административных мер воздействия.
Экономическая безопасность обеспечивается как чисто экономическими
методами, так и средствами неэкономического характера: политическими,
военными и иными, включая защиту секретов.
Безопасность в смежных внеэкономических сферах обеспечивается не
только специфичными для них методами, но в значительной мере и
экономическими средствами, в том числе всегда с привлечением денежных и
иных ресурсов экономического характера.
Кроме того, экономическая оценка последствий угроз безопасности в
любых сферах, как правило, обеспечивает универсальный подход, давая
возможность количественно оценить ущерб и на этой основе определить
систему приоритетов.
Экономические интересы России
1) Государственная стратегия в области экономической безопасности
должна осуществляться в интересах достижения общих целей национальной
безопасности на основе применения всеми институтами государственной
власти правовых, экономических и административных мер воздействия.
2) Государственная стратегия экономической безопасности России
должна
ориентироваться
на
обеспечение социально-политической
20
безопасности общества, поддержание достаточного уровня жизни населения,
сохранение основ конституционного строя Российской Федерации и
формирование устойчивой системы общегосударственных ценностей и
интересов.
3) При переходе Российской Федерации к новым социальноэкономическим отношениям государственное регулирование в области
экономической безопасности – необходимое условие для предотвращения
распада общества и государства.
Эти цели должны быть не только определены, но и обоснованы,
одобрены всеми политическими силами общества, восприняты и поняты
всеми членами российского общества.
Угрозы экономической безопасности России
На современном этапе исторического развития России объективно
существуют реальные внутренние и внешние угрозы экономической
безопасности государства, недопущение или преодоление которых должно
стать важнейшим элементом Государственной стратегии экономической
безопасности Российской Федерации.
Выявление возможных угроз экономической безопасности и выработка
мер по их предотвращению или минимизации негативных последствий
имеют первостепенное значение в системе обеспечения экономической
безопасности Российской Федерации.
Угрозы в сфере экономики имеют комплексный характер и обусловлены
низкими темпами наращивания экономического потенциала государства,
усиливающимся отставанием в технологическом развитии, уровне и качестве
жизни населения, отсутствием надлежащих мер в области регулирования
процессов
перераспределения
собственности,
неэффективным
использованием ресурсов, снижением способности адекватно противостоять
рискам и вызовам, связанным с изменением конъюнктуры мировых рынков,
мировой глобализации и информатизации.
Внутренние угрозы
1) Сокращение численности населения и его старение, влекущее за
собой в перспективе значительное сокращение трудового потенциала
государства, и рост демографической нагрузки на сокращающееся по
численности трудоспособное население.
2) Деградация учреждений социальной сферы; негативное воздействие
социально-экономических условий жизни населения, рост заболеваемости
значительной части населения, некомфортные жилищные условия,
сокращение и ухудшение структуры рациона питания человека, плохая
экологическая среда, большая загруженность женщин в общественном
производстве и др.
3) Криминализация экономики, высокий уровень правонарушений в
информационной и интеллектуальной сферах экономики, обострение
социальных проблем – наркомании, проституции, бродяжничества и т.д.
4) Сохранение и возможное усиление значительной имущественной
дифференциации (имущественного расслоения) населения с высокой долей
21
и возможным увеличением численности населения, проживающего ниже
уровня
бедности
(прожиточного
минимума),
и
безработных,
ограничивающих платежеспособный спрос и экономический рост в
государстве и приводящих к нарушению социального мира и общественного
согласия.
Факторы, определяющие эти угрозы:
сохранение
низкого
уровня
доходов
населения,
не
обеспечивающего достойный уровень жизни, потребности населения в
продовольствии в размерах, достаточных для его жизнедеятельности, и
необходимый рост платежеспособного спроса;
наличие устойчиво высокой численности малоимущего
населения, что создает социальную базу для криминальных проявлений:
наркомании, преступности, проституции, бродяжничества и т.д.;
повышение стоимости платных услуг обязательного характера
(здравоохранения, образования, жилищно-коммунального хозяйства),
опережающий рост реальных доходов населения, и возложение этих
дополнительных расходов на слои населения со средним достатком, которые
обеспечивают рост платежеспособного спроса и сбережений и т.д.
5) Структурная деформированность и малоэффективность российской
экономики, выражающаяся в приоритетном сохранении ее топливносырьевой направленности, недостаточном развитии наукоемких и
высокотехнологичных производств, особенно в машиностроении, низком
уровне инвестиционной активности, усилении объективно существующей
территориальной дифференциации уровней экономического и социального
развития регионов.
Важнейшие факторы, определяющие сохранение этой угрозы:
нарушение производственно-технологических связей между
предприятиями отдельных регионов;
физическое и моральное старение основных фондов, особенно
оборудования, ограничивающее экономический рост и снижающее
технический уровень отечественного производства;
неуклонное увеличение разрыва в эффективности экономики
(низкая производительность общественного труда, высокие материало- и
капиталоемкость) между Россией и индустриально развитыми странами;
растущий недостаток квалифицированного производственного
персонала, а также работников массовых профессий.
6) Низкая с возможной тенденцией дальнейшего понижения
конкурентоспособность российской экономики, обусловленная:
отсталостью технологической базы большинства отраслей,
высокой энергоемкостью и ресурсоемкостью, низким качеством продукции
и высокими издержками производства;
высоким уровнем монополизации экономики, усилением ее
топливно-сырьевой направленности и недостаточной эффективностью
государственного контроля над деятельностью естественных монополий;
22
отсутствием или крайней неэффективностью механизма
удержания технологической ренты;
отставанием в применении современных инструментов
формирования рынков: межкорпоративной консолидации частных
предприятий и фирм, стандартизации и сертификации товаров и услуг,
интегрированных маркетинговых инфраструктур и коммуникаций;
высоким уровнем правонарушений в информационной и
интеллектуальной сферах, имеющих серьезные негативные последствия для
снижения конкурентоспособности российской экономики.
7) Возрастание рисков возникновения аварий и катастроф техногенного
характера со значительными негативными экологическими последствиями.
Основные факторы, определяющие эти угрозы:
значительный износ основных производственных фондов,
особенно в отраслях с непрерывным технологическим циклом, а также
транспортных коммуникаций и продуктопроводов;
рост
объемов
накопленных
промышленных
отходов,
радиоактивных и токсичных веществ, а также несовершенство технологий по
их утилизации и захоронению;
недостаточность ресурсов на замену устаревших экологически
опасных технологических процессов.
8) Увеличение разрыва в уровне социально-экономического развития
субъектов и регионов РФ, а также города и села в результате:
увеличения разрыва в уровне производства национального
дохода на душу населения между отдельными субъектами Российской
Федерации;
нарушения сбалансированности межбюджетных отношений, что
приводит к рассогласованию интересов участников бюджетного процесса.
9) Достаточно высокий уровень инфляции.
10) Несовершенство механизмов формирования экономической
политики (высокая степень воздействия регионального и отраслевого
лоббизма на принятие экономических решений; непоследовательность и
несогласованность действий центральных экономических ведомств), которое
может приводить к нарушению финансовой сбалансированности, порождать
угрозы
социальных
конфликтов,
искусственно
ослаблять
конкурентоспособность отечественных производителей.
11) Искаженная структура фондового рынка: всего на 5% от компаний
в листинге РТС приходится 90% капитализации и 98% оборота на
российском рынке акций. А с учетом того, что основная часть из них
приходится на нефтегазовый сектор, фактически российский рынок акций
находится в прямой зависимости от конъюнктуры на мировом рынке нефти и
газа.
Внешние угрозы
1) Высокая зависимость российской экономики, всех ее важнейших сфер
от внешнеэкономической конъюнктуры, от политических и экономических
решений интеграционных группировок зарубежных стран, международных
23
финансовых и торговых организаций, ущемляющих интересы РФ в области
экономики.
Факторы, определяющие угрозы во внешнеэкономической сфере:
1.
сложившаяся топливно-сырьевая направленность российского
экспорта,
потеря
традиционных
рынков
сбыта
военной
и
машиностроительной продукции;
2.
преобладание
в
импорте
предметов
потребления
и
продовольствия при снижении доли машин, оборудования и современных
технологий, что усиливает зависимость российской экономики от
внешнеэкономической конъюнктуры;
3.
переход производств и предприятий, имеющих ключевое
значение для экономики и обеспечения национальной безопасности
государства, под контроль нерезидентов и перепрофилирование этих
производств в направлении, противоречащем интересам развития
отечественной экономики;
4.
зависимость национальной кредитно-денежной системы от
международных или национальных валют и платежных балансов других стран;
5.
формирование дискриминационных для России механизмов
ценообразования на внешних рынках.
2) Развитие негативных процессов в экономической сфере ряда
регионов, усиленных расширением НАТО и ЕЭС к российским границам,
территориальными претензиями Японии и перманентным ростом
численности китайского населения в Дальневосточном регионе и
способствующих распространению политического и экономического влияния
на соответствующие российские территории со стороны иностранных
государств.
3) Приобретение инофирмами российских предприятий в целях
вытеснения отечественной продукции, как с внешнего, так и с внутреннего
рынка и, как следствие, завоевание ими внутреннего рынка России по
многим видам товаров широкого потребления и зависимость России от
импорта многих видов продукции, в том числе стратегического значения,
продовольственных товаров, а также комплектующих изделий для
машиностроения.
4) Дискриминационные меры зарубежных стран или их сообществ во
внешнеэкономических отношениях с Россией, особенно в связи с
вступлением России в ВТО.
5) Неразвитость транспортной инфраструктуры экспортно-импортных
операций, в частности несанкционированный отбор нефтепродуктов из
нефте- и газопроводов, проходящих по территории Украины, Белоруссии,
Чеченской республики и Латвии.
2.2. Государственные основы обеспечения экономической безопасности
Государственная деятельность
безопасности России включает:
по
24
обеспечению
экономической
1) создание информационной базы для объективного и всестороннего
мониторинга экономики и общества и осуществление этого мониторинга в
целях выявления и прогнозирования внутренних и внешних угроз жизненно
важным интересам объектов экономической безопасности;
2) разработку комплекса оперативных и долговременных мер по
предупреждению и нейтрализации внутренних и внешних угроз, оценка
результатов их осуществления;
3) создание условий для реализации комплекса государственных мер по
обеспечению экономической безопасности.
Осуществление этих функций требует использования системы
индикаторов экономической безопасности. Частично эта система определена
в «Государственной стратегии экономической безопасности Российской
Федерации».
Государственная стратегия в области обеспечения экономической
безопасности осуществляется через систему обеспечения экономической
безопасности, которую образуют органы законодательной, исполнительной и
судебной властей, общественные и иные организации и объединения,
должностные лица, принимающие участие в обеспечении безопасности в
соответствии с Законом Российской Федерации «О безопасности» и
регулируется законодательством, регламентирующим отношения в сфере
безопасности.
В основу системы обеспечения экономической безопасности положен
принцип взаимосвязи, сбалансированности и интеграции со всеми
элементами экономической политики государства, хозяйствующих
субъектов, домашних хозяйств, отдельных граждан и общества в целом.
Государственная деятельность, направленная на предотвращение
внешних и внутренних угроз экономической безопасности РФ,
осуществляется на всех уровнях экономики и государственного управления.
Система и механизмы обеспечения экономической безопасности
Российской Федерации включают следующие элементы:
1. Система защиты национальных интересов РФ в сфере экономики
базируется на установлении и нормативно-правовом закреплении
Правительством РФ обязательных процедур по формированию целевых
установок, программных мер и действий, обеспечивающих выявление,
локализацию и противодействие угрозам экономической безопасности
государства, при разработке:
1) стратегий и основных направлений социально-экономического
развития Российской Федерации на долгосрочный период;
2)
краткосрочных
и
среднесрочных
прогнозов
социальноэкономического развития Российской Федерации;
3) проектов бюджетов на федеральном и региональном уровнях;
4) законодательных и иных нормативных правовых актов по
финансовым и хозяйственным вопросам;
5) федеральных и региональных целевых программ.
25
2. Важнейшие элементы механизма обеспечения экономической
безопасности РФ:
1) прогнозирование социально-экономического развития государства с
учетом выявленных и могущих возникнуть факторов и процессов,
угрожающих его экономической безопасности в прогнозном периоде;
2) мониторинг и анализ факторов и процессов, определяющих
внутренние и внешние угрозы экономической безопасности для государства;
3) разработка и реализация органами исполнительной власти мер по
предотвращению вероятных угроз экономической безопасности России по
всем сферам и отраслям экономики;
4) экспертиза проектов законодательных и иных нормативных и
правовых актов по финансовым и хозяйственным вопросам с позиции
обеспечения защищенности от внутренних и внешних угроз национальным
интересам государства в области экономики. Порядок проведения указанной
экспертизы определяет Президент РФ.
3. В целях реализации комплекса мер и механизмов по преодолению или
недопущению угроз экономической безопасности государства Правительство
РФ в пределах определенной законом компетенции:
1) определяет функции федеральных органов исполнительной власти по
обеспечению экономической безопасности РФ с обязательным отражением
этих функций в положениях о соответствующих министерствах и ведомствах
РФ;
2) организует разработку на основе Государственной стратегии
экономической безопасности соответствующих программ обеспечения
экономической безопасности по отдельным отраслям и сегментам экономики
и субъектам РФ;
3) организует взаимодействие правоохранительных органов и органов
государственного финансового контроля в рамках обеспечения эффективного
противодействия правонарушениям в сфере экономики.
4. Совет Безопасности РФ совместно с Правительством РФ:
1) осуществляют накопление, анализ и обработку информации о
функционировании системы обеспечения экономической составляющей
национальной безопасности РФ, выработку рекомендаций по ее
совершенствованию;
2) организуют мониторинг, ситуационный анализ и прогнозирование
факторов, отвечающих за возможное возникновение внутренних и внешних
угроз экономической безопасности государства;
3) организуют подготовку заключения с позиции экономической
безопасности РФ на проект федерального бюджета и основные направления
социально-экономического развития России на среднесрочную и
долгосрочную перспективы;
4) информируют (не менее чем раз в год) Президента РФ о ходе
реализации Государственной стратегии экономической безопасности, об
изменении уровня угроз национальным интересам государства в области
экономики, работе, проводимой федеральными и региональными органами
26
исполнительной власти по обеспечению экономической безопасности РФ и,
при необходимости, вносят предложения по принятию мер, адекватно
противодействующих возникающим угрозам, или по корректировке целей
Государственной стратегии экономической безопасности или проводимой
экономической политики;
5) отслеживают с позиции обеспечения экономической безопасности
государства важнейшие процессы, происходящие в экономике и в социальнополитической сферах, и при выявлении факторов, угрожающих
экономической безопасности государства, информируют об этом Президента РФ;
6) взаимодействуют с Государственной Думой и Советом Федерации
Федерального Собрания РФ при рассмотрении законопроектов, касающихся
важнейших экономических, хозяйственных, финансовых и социальнополитических вопросов, а также законопроектов, регламентирующих
отношения в сфере безопасности.
Государственная стратегия в области обеспечения экономической
безопасности должна осуществляться в соответствии со следующими
требованиями:
1) четкое разграничение функций аппаратов Президента, Российской
Федерации и Правительства Российской Федерации и федеральных органов
исполнительной власти;
2) четкое определение задач федерального и местного уровня и
соответствующее разграничение по государственному управлению между
федеральными органами и органами исполнительной власти субъектов
Федерации при обеспечении единства системы исполнительной власти;
3) адекватное информационное обеспечение регулирующей функции
государства.
Государственная стратегия в области обеспечения экономической
безопасности реализуется в рамках проводимой экономической политики,
основными приоритетами которой являются обеспечение устойчивости
экономического положения личности, социально-экономической и военнополитической
стабильности
общества,
государства,
соблюдение
конституционных прав и свобод человека и гражданина, законности и
законопослушания всех, включая органы государственной власти.
В целях обеспечения эффективности государственной стратегии
экономической
безопасности
должна
быть
сформирована
высокоэффективная система государственного регулирования экономики,
позволяющая осуществлять оптимальное (с наименьшими потерями)
взаимодействие между всеми элементами экономики и государством (его
институтами) в целом, а также способная взять на себя функции
регулирования и поддержания экономики государства на безопасном уровне.
При этом должны быть четко определены границы и критерии (условия)
(необходимость и достаточность) государственного вмешательства в
экономику: в частности, границы государственного сектора, а также
обеспечено развитие эффективных методов государственного регулирования.
27
Ряд указанных элементов деятельности государства по обеспечению
экономической безопасности должен реализовываться в государственных
прогнозах и программах социально-экономического развития Российской
Федерации, а также при разработке государственного бюджета на каждый
следующий год.
При определении конкретных инструментов и механизмов обеспечения
экономической безопасности необходимо учитывать опасности, угрозы и
вызовы
экономической
безопасности
государства,
длительность
(краткосрочный или долгосрочный характер) их воздействия и возможности
предотвращения опасностей, угроз и вызовов экономической безопасности
государства в настоящем и прогнозном периодах.
С позиций обеспечения экономической безопасности государства
первостепенное значение имеет укрепление государственной власти,
повышение доверия к ее институтам при совершенствовании структуры и
качества государственного управления, а также рационализации механизмов
выработки решений и методов формирования экономической политики.
Без выполнения этих требований задачи реконструкции и модернизации
производственного потенциала России, эффективного использования ее
ресурсного потенциала и преодоления структурных деформаций, требующие,
в свою очередь, привлечения значительных финансовых и иных
инвестиционных ресурсов, будут наталкиваться, в лучшем случае, на
неэффективное использование государственных бюджетных средств на всех
уровнях экономики, а в худшем – на их сознательное криминальное
перераспределение.
Вместе с тем, очевидно, что государственная политика по обеспечению
экономической безопасности, наряду с прямым воздействием на негативные
экономические процессы, предполагает также создание условий для
«включения»
защитных
механизмов,
основанных
на
рыночном
саморегулировании и препятствующих развитию дестабилизирующих
тенденций.
В этом смысле не менее важным является комплексное продолжение и
завершение институциональных преобразований, создающих базу для
эффективного функционирования рыночных механизмов.
Реализация мер, направленных на обеспечение экономической
безопасности, должна проходить в русле осуществления активной
структурной и социальной политики, усиления активности государства в
инвестиционной,
финансово-денежной,
кредитно-банковской
и
внешнеэкономической
сферах
экономики
и
продолжения
институциональных преобразований.
Неотъемлемым элементом обеспечения экономической безопасности
государства должно стать ресурсное (финансовое, материальное,
информационное, интеллектуальное и кадровое) обеспечение его властной
социально-регулирующей функции.
28
2.3. Роль информации в обеспечении экономической безопасности
предприятия (организации) в рыночных условиях
Каждый человек в течение своей жизни, так или иначе, связан с
предприятиями (организациями). В рамках предприятия (организации)
повсеместно осуществляется человеческая деятельность. Нет организаций
без людей, равно как и нет людей, которым не приходится иметь дело с
организациями.
Предприятие (организация) – сложный организм.
В нем переплетаются и уживаются интересы личности и групп, стимулы
и ограничения, жесткая технология и инновации, безусловная дисциплина и
свободное творчество, нормативные требования и неформальные
инициативы.
У организаций есть свой облик, своя культура, свои традиции и
репутация. Они уверенно развиваются, когда имеют обоснованную
стратегию и эффективно используют ресурсы. Они перестраиваются, когда
перестают отвечать избранным целям. Они погибают, когда оказываются
неспособными выполнять свои задачи.
Каждое общество состоит из множества организаций, с которыми
связаны все аспекты и проявления человеческой жизни – общества в целом,
экономики, науки, культуры, образования, обороны, личной жизни.
Предприятие (организация) – это сознательно координируемое
социальное образование с определенными границами, функционирующее на
относительно постоянной основе, для достижения общей цели или целей.
Под словами «сознательно координируемое» понимается управление, под
«социальным образованием» – то, что организация состоит из людей или
групп лиц, взаимодействующих между собой.
Предприятие (организация) имеет определенные границы, которые
могут меняться со временем. Члены организации, на которых возлагаются
определенные обязанности, вносят свой вклад в достижение установленных
целей. Преимущество организованных групп состоит в том, что человек,
входя в состав коллектива, может более успешно достичь своих целей, чем
индивидуально.
Структура организации определяет, каким образом должны быть
распределены задачи, кто докладывает и кому, каковы формальные
координирующие механизмы и модели взаимодействия. Для нее
характерны комплексность, формализация и определенное соотношение
централизации
и
децентрализации.
Определение
организации
предусматривает
необходимость
формального
координирования
взаимодействия работников.
Комплексность рассматривает степень дифференциации в рамках
организации. Она включает уровень специализации или разделение труда,
количество уровней в иерархии организации и степень территориального
распределения частей организации.
29
Под формализацией понимаются заранее разработанные и
установленные правила и процедуры, определяющие поведение работников.
Некоторые организации минимально оперируют стандартными директивами.
Другие имеют все типы правил, инструктирующих работников по поводу
того, что они могут и чего не могут делать.
Соотношение централизации и децентрализации определяется
уровнями, на которых вырабатываются и принимаются управленческие
решения в организации. В некоторых организациях процесс принятия
решений очень централизован, действия по разрешению проблем
предпринимаются высшими руководителями, в других случаях принятие
решений децентрализовано, ответственность делегируется вниз по иерархии.
Принятые соотношения централизации и децентрализации определяют
характер и тип устанавливаемой организационной структуры управления.
Каждая организация имеет свое предназначение – миссию, во имя
которой люди объединяются и осуществляют свою деятельность.
Осуществляя свое предназначение, организация добивается достижения
определенных целей – выживания, роста, доходности. Она выпускает
определенную продукцию и оказывает услуги, использует различные
технологии и т.д.
Примерная характеристика предназначения организации в обобщенном
виде включает:
1) предлагаемые продукты или услуги;
2) место и роль в системе рыночных отношений;
3) цели организации (выживание, рост, доходность);
4) технологию (процессы, инновации);
5) философию (базовые взгляды, ценности, мотивации);
6)
внутреннюю
концепцию
(источники
силы,
степень
конкурентоспособности, факторы выживания);
внешний образ, имидж (ответственность перед партнерами,
потребителями, обществом в целом).
В настоящее время широко распространено понятие о жизненном цикле
организаций как о предсказуемых их изменениях с определенной
последовательностью состояний в течение времени.
Применяя понятие жизненного цикла, можно видеть: существуют
отчетливые этапы, через которые проходят организации, и переходы от
одного этапа к другому являются предсказуемыми, а не случайными.
Концепции жизненного цикла уделяется большое внимание в
литературе по изучению рынков.
Жизненный цикл используется, чтобы объяснить, как продукт проходит
через этапы рождения или формирования, роста, зрелости и упадка.
Организации имеют некоторые исключительные характеристики,
требующие определенной модификации понятия жизненного цикла.
Один из вариантов деления жизненного цикла организации на
соответствующие временные отрезки предусматривает следующие этапы.
30
1.
Этап предпринимательства. Организация находится в стадии
становления, формируется жизненный цикл продукции. Цели еще нечеткие,
творческий процесс протекает свободно, продвижение к следующему этапу
требует стабильного обеспечения ресурсами.
2.
Этап коллективности. Развиваются инновационные процессы
предыдущего этапа, формируется миссия организации. Коммуникации и
структура в рамках организации остаются в сущности неформальными.
Члены организации затрачивают много времени и демонстрируют высокие
обязательства.
3.
Этап формализации и управления. Структура организации
стабилизируется, вводятся правила, определяются процедуры. Упор делается
на эффективность инноваций и стабильность. Органы по выработке и
принятию решений становятся ведущими компонентами организации.
Возрастает роль высшего руководящего звена организации, процесс
принятия решений становится более взвешенным, консервативным. Роли
уточнены, поэтому выбытие тех или иных членов организации не вызывает
серьезной опасности.
4.
Этап выработки структуры. Организация увеличивает выпуск
своих продуктов и расширяет рынок оказания услуг. Руководители выявляют
новые возможности развития. Организационная структура становится
комплексной и отработанной. Механизм принятия решений децентрализован.
5.
Этап упадка. В результате конкуренции, сокращающегося рынка
организация сталкивается с уменьшением спроса на свою продукцию или
услуги. Руководители ищут пути удержания рынков и использования новых
возможностей. Увеличивается потребность в работниках, особенно
обладающих наиболее ценными специальностями. Количество конфликтов
нередко увеличивается. К руководству приходят новые люди,
предпринимающие попытки задержать упадок. Механизм выработки и
принятия решений централизован.
На этом этапе может наступить банкротство. Под несостоятельностью
(банкротством) в Федеральном законе понимается неспособность должника
удовлетворить требования кредиторов по денежным обязательствам и (или)
исполнить обязанность по уплате обязательных платежей.
Для обеспечения жизненного цикла организации, необходима
всесторонне характеризующая ее информация. Последнюю необходимо
рассматривать комплексно и всесторонне, охватывая все процессы производства;
факторы конкурентной борьбы, продиктованные рыночными отношениями;
компоненты информационных технологий.
Это означает, что для правильного принятия решений необходима
информация, как о самом хозяйствующем субъекте, так и любая иная, имеющая
для него значение.
Речь идет о самых разнообразных источниках, доступных в условиях
рыночных отношений, в том числе таких, за пользование которыми приходится
платить немалые деньги.
31
Для обеспечения безопасности предприятия создаются службы
безопасности. Более подробно на функционировании их остановимся в
следующем разделе.
На основе рассмотренного нами жизненного цикла организации, а также
образованием новой экономической реальности в государстве и
необходимостью обеспечения экономической безопасности хозяйствующего
субъекта (организации, предприятия) перед ним и его службой безопасности
в этом аспекте, встают следующие задачи:
1) защита законных прав и интересов предприятия и его сотрудников;
2) сбор, анализ, оценка и прогнозирование данных, характеризующих
обстановку на предприятии;
3) изучение партнеров, клиентов и конкурентов;
4) своевременное выявление возможных устремлений к предприятию и
его сотрудникам со стороны источников внешних угроз безопасности;
5)
недопущение
проникновение
на
предприятие
структур
промышленного шпионажа, организованной преступности и отдельных лиц с
противоправными намерениями;
6) противодействие техническому проникновению в преступных целях;
7) выявление, предупреждение и пресечение противоправной и иной
негативной деятельности сотрудников предприятия в ущерб его
безопасности;
8) защита сотрудников предприятия от насильственных посягательств;
9) сохранность материальных ценностей и сведений, составляющих
коммерческую тайну;
10) добывание необходимой информации для выработки оптимальных
управленческих решений по вопросам стратегии и тактики экономической
деятельности;
11) физическая и техническая охрана зданий и сооружений, территории
и транспортных средств;
12) формирование в средствах массовой информации, у партнеров и
клиентуры благоприятного мнения о предприятии, способствующего
реализации планов экономической деятельности;
13) возмещение материального и морального ущерба, нанесенного в
результате неправомерных действий организаций и отдельных лиц;
14) контроль за функционированием системы безопасности.
Необходимо отметить, что выполнение поставленных задач и
построение обобщенной системы экономической безопасности на
предприятии (организации) должно осуществляться на основе соблюдения
принципов:
1) законности;
2) уважения прав и свобод граждан;
3) централизованного управления;
4) координации и взаимодействия с правоохранительными органами;
5) самостоятельности и ответственности за обеспечение безопасности;
6) разумной достаточности;
32
7) соответствия внешним и внутренним угрозам безопасности;
8) передовой материально-технической оснащенности;
9) прогрессирующего стимулирования субъектов системы;
10) компетентности;
11) конфиденциальности;
12) комплексного использования сил и средств.
Деятельность
по
обеспечения
экономической
безопасности
хозяйствующего субъекта (организации, предприятия) при выполнении
поставленных задач должна строиться на всесторонней обработке
информации как о нем самом, так и окружающей его бизнес-среды.
Выявление проблем и формулирование целей функционирования
организации является исходным пунктом; основная задача здесь – определение
главных проблем и целей функционирования организации.
Сообразуясь с ними, на следующем этапе осуществляют поиск и отбор
необходимых источников информации.
На рисунке 2.1 представлены этапы работы с информацией, кратко поясним
их.
Выявление проблем и
формирование целей
функционирования
предприятия
Отбор показателей
из собранных
источников
Отбор
источников
информации
Сбор
информации
Выбор способа
организации
отобранных
показателей
Обработка данных
инструментальным
и средствами
Анализ
собранной
информации
Отображение
полученных
результатов
Рис. 2.1. Этапы работы с информацией
На этапе сбора информации из отобранных источников собирают нужные
сведения (в том числе и из неофициальных источников).
При анализе выявляют наиболее ценные, достоверные и своевременные
сведения.
Отбор показателей необходим для того, чтобы определить первичные,
наиболее полно характеризующие функционирование хозяйствующего субъекта.
Кроме того, они необходимы для получения производных показателей
различных видов предметной деятельности предприятия.
На следующем этапе подбирается такая структура их организации, которая
легко вписывается в имеющуюся или проектируемую информационную систему;
при этом следует помнить о возможном использовании адекватных баз данных
для ее обслуживания.
Этап обработки данных предполагает обеспечение имеющихся
информационных потребностей с использованием программных продуктов,
которыми располагает конкретный хозяйствующий субъект.
Отображение результатов означает их представление в виде, пригодном для
использования без дополнительных преобразований.
33
В последнее время все чаще для этих целей применяют графические
средства, позволяющие существенно сжимать объем данных и представлять их
в обозримом виде без потери значимой информации.
Взаимодействие компонентов системы информации между собой, с внешней
бизнес-средой и главными функциями хозяйствующего субъекта показано на
рисунке 2.2.
бизнесинформация
внешняя
бизнес-среда
подсистема
внутренней
отчетности
подсистема
исследования
бизнеса
подсистема
сбора внешней
информации
подсистема
сбора
информации
бизнесинформация
анализ
планирование
реализация
контроль
исполнения
Информационная система безопасности субъекта
Рис. 2.2 Информационные взаимодействия между элементами хозяйствующего субъекта
Внешняя бизнес-среда, взаимодействуя с бизнес-информацию через
информационную систему безопасности субъекта, оказывает воздействие на
компоненты системы информации хозяйствующего субъекта.
Кроме того, информация самого предприятия необходима для
продуктивного анализа, планирования, реализации и контроля его
деятельности и безопасности; результат ее оказывает влияние на внешнюю
бизнес-среду, через информационную систему безопасности субъекта, а
также на систему информации и ее компоненты, представленные
соответствующими подсистемами.
34
ГЛАВА 3
ЭКОНОМИЧЕСКАЯ ЭФФЕКТИВНОСТЬ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ПОРЯДОК ЕЕ
ОПРЕДЕЛЕНИЯ
3.1 Принятие решения руководителем на создание (модернизации)
эффективной системы информационной безопасности
Любой руководитель предприятия (организации), при создании
(модификации) системы информационной безопасности, должен постараться
оценить, что это ему принесет, какую отдачу можно получить от своей
деятельности, какова будет эффективность вложений и проекта. Попробуем
создать поведенческую модель его рассуждения и оценки, которые он
сделает, предвосхищая всю свою последующую деятельность.
1) Итак, о чем задумается руководитель, прежде всего?
Очевидно, он захочет узнать, какой доход в каждую единицу времени
(год, полугодие, квартал, месяц и пр.) будет приносить ему
функционирование новой (модернизируемой) системы информационной
безопасности.
Причем под доходом он может (и будет) понимать разницу между
результатами и издержками производства, как в абсолютном выражении
(например, прибыль, валовой доход, или заработная плата), так и в
относительном (уровень рентабельности, валовой доход на единицу
издержек производства, заработная плата на одного работающего и т.п.).
Проведя предварительный анализ, руководитель может сделать
предварительный вывод о том, выгоден ли ему такой проект, удовлетворяет
ли его такая доходность будущего бизнеса.
Каковы же методики используются при принятии предварительного
решения?
Обычно экономисты говорят, что это была абсолютная оценка
доходности проекта по какому-то конкретному показателю, который для
руководителя в данном случае имеет наиболее существенное значение.
Но, как правило, ни один руководитель не примет окончательного
решения только на основе абсолютной оценки доходности проекта. Дело в
том, что она не в полной мере отвечает на вопрос о том, хорош проект или он
плох с точки зрения альтернативных возможностей вложений, а также в
сравнении с существующим богатым опытом предпринимательства и
бизнеса.
Руководитель захочет сравнить абсолютную оценку проекта по
созданию системы, с такой же оценкой, но взятой на основе массового
теоретически и практически обоснованного опыта, инвестирования средств в
новое дело, то есть сравнить свою абсолютную оценку проекта с заранее
установленным нормативом. Причем норматив он может установить для себя
самостоятельно на основе каких-то критериев и приоритетов, а может взять и
35
общепринятый в практике безопасности, на основе как российских
стандартов, и международных. Решение этого вопроса полностью является
прерогативой руководителя и никого более.
Такая оценка, основанная на сравнении абсолютной оценки проекта с
принятым нормативом, называется абсолютно-сравнительной оценкой.
После сравнения абсолютной оценки с нормой (стандартом), проект
будет либо отвергнут, как недостаточно доходный, либо будет признан, как
высокоэффективный. Все будет зависеть от соотношения абсолютной оценки
и норматива (стандарта).
Если абсолютная оценка доходности проекта окажется выше, чем
применяемый для сравнения норматив (стандарт), то он признается по
данному показателю приемлемым и может быть реализован практически. В
противном случае руководитель от него откажется.
Однако и этого еще недостаточно для окончательной оценки. Точнее
сказать, достаточно, но при условии, если данный проект единственный и не
имеет альтернативы вложений. Тогда можно считать, что решение об
инвестициях в него практически принято, и надо приступать к его
реализации.
Но жизнь настолько богата предложениями, и, как правило, всегда
можно найти много различных вариантов построения системы, но выбрать из
всех представляющихся возможностей следует наилучшую. Как это сделать?
В этом случае надо, очевидно, сравнить показатели абсолютной оценки
каждого проекта между собой и выбрать наилучший проект. Такая задача
возникает сплошь и рядом. Она настолько обычна, настолько распространена
в реальной деятельности, что проигнорировать ее было бы непростительной
ошибкой.
По сути дела, решение такой задачи, как уже указывалось, тоже
сводится к сравнению, но не на основе сопоставления абсолютной оценки
проекта с нормативом (стандартом), а путем сравнения вариантов проектов
(систем), прошедших отбор по нормативу (стандарту), между собой и выбора
из рассматриваемых альтернатив лучшего решения. Такая оценка называется
сравнительной оценкой доходности проектов.
В принципе все три оценки имеют право на существование, ибо каждая
из них решает свою задачу. А любое решение по обоснованию должно быть
необходимым и достаточным, давать возможность руководителю однозначно
и при минимальных затратах времени, средств, осуществить выбор лучшего
решения с учетом всех имеющихся обстоятельств.
Итак, подведем итоги, и представим некий алгоритм действий,
касающийся применения различных оценок эффективности проекта
(системы):
1) происходит отбор всех альтернативных вариантов создания, которые
могут быть реализованы;
2) определяются абсолютные оценки доходности по каждому варианту;
3) отбираются те варианты, которые представляют интерес
(экономический, социальный, информационный, политический и т.п.);
36
4) остальные варианты отбраковываются и в дальнейшем конкурсном
отборе не участвуют;
5) если после проведения предшествующей процедуры остается только
один вариант, то его подвергают абсолютно-сравнительной оценке, и если
она окажется положительной, то данный вариант принимается к реализации,
в противном случае он отвергается, а руководитель ищет новые
возможности;
6) если после абсолютной оценки остается несколько различных
вариантов, то каждый из них подвергается абсолютно-сравнительной оценке
по системе разных критериев;
7) руководитель устанавливает наиболее для него приоритетный
критерий, проводит сравнительную оценку доходности альтернативных
проектов по избранному критерию и принимает для своего бизнеса тот
вариант, который удовлетворяет его в наибольшей степени.
Изложенная схема отбора вариантов для создания (модификации)
проекта системы безопасности прошла многолетнюю апробацию и показала
свою высокую надежность при условии, конечно, если методически и
информационно все расчеты были проведены безошибочно.
Для упрощения принятия управленческого решения зарубежными и
российскими компаниями предложен ряд методик в помощь.
Большинство этих методик сводится к тому, что сегодня в
отечественных компаниях и предприятиях с повышенными требованиями в
области информационной безопасности (банковских и билинговых системах,
ответственных производствах и т. д.) затраты на обеспечение режима
информационной безопасности (ИБ) составляют до 30% всех затрат на
информационную систему (ИС), и владельцы информационных ресурсов
серьезно рассматривают экономические аспекты обеспечения ИБ. Даже в тех
ИС, уровень ИБ которых явно недостаточен, у технических специалистов
зачастую возникают проблемы обоснования перед руководством затрат на
повышение этого уровня. В ходе проводимого предварительного анализа
специалистам необходимо ответь на следующие вопросы:
1) как определить экономически оправданные затраты на защиту
информации?;
2) какие методы существуют и жизнеспособны на практике?
Для ответа на эти вопросы определимся с целями, которые мы
преследуем при выборе метода оценки целесообразности затрат на систему
информационной безопасности.
Во-первых, метод должен обеспечивать количественную оценку затрат
на безопасность, используя качественные показатели оценки вероятностей
событий и их последствий.
Во-вторых, метод должен быть прозрачен с точки зрения пользователя,
и давать возможность вводить собственные эмпирические данные.
В-третьих, метод должен быть универсален, то есть одинаково
применим к оценке затрат на приобретение аппаратных средств,
37
специализированного и универсального программного обеспечения, затрат
на услуги, затрат на перемещение персонала и обучение конечных пользователей и
т. д.
В-четвертых, выбранный метод должен позволять моделировать
ситуацию, при которой существует несколько контрмер, направленных на
предотвращение определенной угрозы, в разной степени влияющих на
сокращение вероятности происшествия.
Давайте посмотрим, какие методики оценки затрат и ценности
инвестиций существуют и могут быть использованы в практике изучения
существующих систем безопасности предприятия (организаций).
Прикладной информационный анализ
Applied Information Economics (AIE)
Методика Applied Information Economics (AIE) была разработана
Дугласом Хаббардом, руководителем компании Hubbard Ross. Компания
Hubbard Ross, основанная в марте 1999 года, стала первой организацией,
которая использовала методику AIE для анализа ценности инвестиций в
технологии безопасности с финансовой и экономической точки зрения.
Методика AIE позволяет повысить точность показателя «действительная
экономическая стоимость вложений в технологии безопасности за счет
определения доходности инвестиций» (Return on Investment, ROI) до и после
инвестирования.
Применение AIE позволяет сократить неопределенность затрат, рисков и
выгод, в том числе и неочевидных.
Опираясь на знания экономики, статистики, теории информации и
системного анализа, консультанты Hubbard Ross определяют важные
финансовые показатели, используя дополнительные сведения для
уменьшения их неопределенности, также оценивают влияние рисков и
помогают выбрать такую стратегию, которая уменьшала бы риск и
оптимизировала инвестиционные вложения.
Отчет о проделанной работе включает в себя полученные сведения,
рекомендации и комментарии консультантов, также в состав отчета входит
сводная таблица, сделанная с помощью Microsoft Excel, отражающая
взаимное влияние затрат, прибыли и рисков.
Потребительский индекс
Customer Index (CI)
Метод предлагает оценивать степень влияния инвестиций в технологии
безопасности на численность и состав потребителей.
В процессе оценки предприятие или организация определяет
экономические показатели своих потребителей за счет отслеживания
доходов, затрат и прибылей по каждому заказчику в отдельности.
Недостаток метода состоит в трудности формализации процесса
установления прямой связи между инвестициями в технологии безопасности
и сохранением или увеличением числа потребителей. Этот метод
применяется в основном для оценки эффективности корпоративных систем
38
защиты информации в компаниях, у которых число заказчиков
непосредственно влияет на все аспекты бизнеса.
Добавленная экономическая стоимость
Economic Value Added (EVA)
Консалтинговая компания Stern Stewart и Co., основанная в 1982 году,
специализируется на оценке акционерного капитала новым инструментарием
финансового анализа.
Эта компания, одна из первых, разработала собственную методику
вычисления добавленной стоимости (Economic Value Added), которая
предлагает непротиворечивый подход к определению целей и измерению
показателей, к оценке стратегий, к размещению капитала и пр.
Методика EVA предлагает рассматривать службу информационной
безопасности как «государство в государстве», то есть специалисты службы
безопасности продают свои услуги внутри компании по расценкам, примерно
эквивалентным расценкам на внешнем рынке, что позволяет компании
отследить доходы и расходы, связанные с технологиями безопасности.
Таким образом, служба безопасности превращается в центр прибыли и
появляется возможность четко определить, как расходуются активы,
связанные с технологиями безопасности, и увеличиваются доходы
акционеров.
Управление портфелем активов
Portfolio Management (PM)
Методика управления портфелем активов предполагает, что компании
управляют технологиями безопасности так же, как управляли бы
акционерным инвестиционным фондом с учетом объема, размера, срока,
прибыльности и риска каждой инвестиции.
Портфель активов технологий безопасности состоит из «статических» и
«динамичных» активов.
К «статическим» активам относят: аппаратно-программные средства
защиты информации, операционные системы и пакеты прикладных
программных продуктов, сетевое оборудование и программное обеспечение,
данные и информацию, оказываемые услуги, человеческие ресурсы и пр.
В состав «динамичных» активов входят следующие компоненты:
различные проекты по расширению и обновлению всего портфеля активов,
знания и опыт, интеллектуальный капитал и т. д.
Таким образом, управление портфелем активов технологий
безопасности представляет собой непрерывный анализ взаимодействия
возникающих возможностей и имеющихся в наличии ресурсов.
Непрерывность процесса управления связана с внешними изменениями
(например, изменение ситуации на рынке, изменение позиций конкурента) и
с внутренними изменениями (например, изменение в стратегии компании, в
каналах сбыта, номенклатуре товаров и услуг и т. д.).
А директор службы безопасности становится «фондовым менеджером»,
который управляет инвестициями в технологии безопасности, стремясь к
максимизации прибыли.
39
Оценка действительных возможностей
Real Option Valuation (ROV)
Основу методики составляет ключевая концепция построения модели
«гибких возможностей компании» в будущем. Методика рассматривает
технологии безопасности в качестве набора возможностей с большой
степенью их детализации.
Правильное решение принимается после тщательного анализа широкого
спектра показателей и рассмотрения множества результатов или вариантов
будущих сценариев, которые в терминах методики именуются
«динамическим планом выпуска» управляющих решений или гибкости,
который поможет организациям лучше адаптировать или изменять свой курс
в области информационной безопасности.
Метод жизненного цикла искусственных систем
System Life Cycle Analysis (SLCA)
В основе российского метода жизненного цикла искусственных систем
System Life Cycle Analysis (SLCA) лежит измерение «идеальности»
корпоративной системы защиты информации – соотношение ее полезных
факторов к сумме вредных факторов и факторов расплаты за выполнение
полезных функций.
Оценку предваряет совместная работа аналитика и ведущих
специалистов обследуемой компании по выработке реестра полезных,
негативных и затратных факторов бизнес-системы без использования
системы безопасности и присвоению им определенных весовых
коэффициентов.
Результатом работы является расчетная модель, описывающая состояние
без системы безопасности.
После этого в модель вводятся описанные факторы ожидаемых
изменений, и производится расчет уровня развития компании с
корпоративной системой защиты информации.
Таким образом, строятся традиционные модели «Как есть» и «Как
будет» с учетом реестра полезных, негативных и затратных факторов бизнессистемы.
Метод SLCA применяется:
1) на этапе предпроектной подготовки, для предварительной оценки
эффекта от внедрения новой системы безопасности или от модернизации
существующей;
2) на этапе разработки технического задания на АС в защищенном
исполнении;
3) на этапе проведения аудита информационной безопасности АС
предприятия, для проектной оценки ожидаемого эффекта;
4) на этапе приемки АС в защищенном исполнении в эксплуатацию или
по окончанию периода опытной эксплуатации для подтверждения расчетного
эффекта, его уточнения и получения новой «точки отсчета» (нового уровня
организационно-технологического развития компании) для последующих
оценок эффекта от внедрения технологий безопасности.
40
Совокупная стоимость владения
Total Cost of Ownership (TCO)
Совокупная стоимость владения (Total Cost of Ownership) первоначально
разрабатывалась как средство расчета стоимости владения компьютером. Но
в последнее время, благодаря усилиям компании Gartner Group, эта методика
стала основным инструментом подсчета совокупной стоимости владения
корпоративных систем защиты информации.
Основной целью расчета ССВ является выявление избыточных статей
расхода и оценка возможности возврата инвестиций, вложенных в
технологии безопасности.
Таким образом, полученные данные по совокупной стоимости владения
используются для выявления расходной части использования корпоративной
системы защиты информации.
Главной проблемой при определении ССВ является проблема выявления
составляющих совокупной стоимости владения и их количественная оценка.
Все составляющие ССВ условное разделяются на «видимые»
пользователю (первоначальные затраты) и «невидимые» (затраты на
эксплуатацию и использование).
При этом «видимая» часть ССВ составляет 32%, а по некоторым
оценкам и 21%, а «невидимая» – 68% или соответственно 79%.
К группе «видимых» затрат относятся следующие:
1) стоимость лицензии;
2) стоимость внедрения;
3) стоимость обновления;
4) стоимость сопровождения.
Все эти затраты, за исключением внедрения, имеют фиксированную
стоимость и могут быть определены еще до принятия решения о внедрении
корпоративной системы защиты информации. Следует отметить, что и в
«видимом» секторе поставщиками систем безопасности иногда могут
использоваться скрытые механизмы увеличения стоимости для привлечения
клиента.
Дополнительные затраты («невидимые») появляются у каждого
предприятия, завершившего у себя внедрение корпоративной системы
защиты информации. «Невидимые» затраты также разделяются на группы:
1) затраты на оборудование (включают в себя затраты на приобретение
или обновление средств защиты информации, на организацию
бесперебойного питания и резервного копирования информации, на
установку новых устройств безопасности и пр.);
2) дополнительное программное обеспечение (системы управления
безопасностью, VPN, межсетевые экраны, антивирусы и пр.);
3) персонал (например, ошибки и трудности в работе со средствами
защиты, неприятие или даже саботаж новых средств защиты и т. д.);
4) стоимость возможностей – стоимость возможных альтернатив
(приобретение или обновление корпоративной системы защиты информации:
сделать это собственными силами или заказать сторонней организации);
41
5) другие (в этом случае оценивается степень и стоимость риска «выхода
из строя» системы).
Показатель ССВ корпоративной системы информационной безопасности
рассчитывается как сумма всех затрат, «видимых» и «невидимых». Затем
этот показатель сравнивается с рекомендуемыми величинами для данного
типа предприятия.
Существует 17 типов предприятий, которые, в свою очередь, делятся на
малые, средние и крупные.
Если полученная совокупная стоимость владения системы безопасности
значительно превышает рекомендованное значение и приближается к
предельному, то необходимо принять меры по снижению ССВ.
Сокращения совокупной стоимости владения можно достичь
следующими способами: максимальной централизацией управления
безопасностью, уменьшением числа специализированных элементов,
настройкой прикладного программного обеспечения безопасности и пр.
Раскроем основные положения методики Total Cost of Ownership.
Анализ методов оценки эффективности инвестиций в корпоративные
системы информационной безопасности показывает, что только метод
совокупной стоимости владения (TCO) в явном виде позволяет рассчитать
расходную часть на систему безопасности.
Методика совокупной стоимости владения компании Gartner Group
позволяет:
1) получить адекватную информацию об уровне защищенности
распределенной вычислительной среды и совокупной стоимости владения
корпоративной системы защиты информации;
2) сравнить подразделения службы информационной безопасности
компании, как между собой, так и с аналогичными подразделениями других
предприятий в данной отрасли;
3) оптимизировать инвестиции на ИБ компании с учетом реального
значения показателя ТСО.
Существенно, что TCO не только отражает «стоимость владения»
отдельных элементов и связей корпоративной системы защиты информации
в течение их жизненного цикла.
«Овладение методикой» ТСО помогает службе ИБ лучше измерять,
управлять и снижать затраты и/или улучшать уровни сервиса защиты
информации с целью адекватности мер защиты бизнесу компании.
Подход к оценке ТСО базируется на результатах аудита структуры и
поведения корпоративной системы защиты информации и КИС в целом,
включая действия сотрудников служб автоматизации, информационной
безопасности и просто пользователей КИС.
Сбор и анализ статистики по структуре прямых (HW/SW, операции,
административное управление) и косвенных затрат (на конечных
пользователей и простои) проводится, как правило, в течение 12 месяцев.
42
Полученные данные оцениваются по ряду критериев с учетом сравнения
с аналогичными компаниями по отрасли.
Методика ТСО позволяет оценить и сравнить состояние защищенности
КИС компании с типовым профилем защиты, в том числе показать узкие
места в организации защиты, на которые следует обратить внимание.
Иными словами, на основе полученных данных можно сформировать
понятную с экономической точки зрения стратегию и тактику развития
корпоративной системы защиты информации, а именно: «сейчас мы тратим
на ИБ столько-то, если будем тратить столько-то по конкретным
направлениям ИБ, то получим такой-то эффект».
Известно, что в методике ТСО в качестве базы для сравнения
используются данные и показатели ТСО для западных компаний.
Однако данная методика способна учитывать специфику российских
компаний с помощью, так называемых поправочных коэффициентов,
например:
1) по стоимости основных компонентов корпоративной системы защиты
информации и КИС, информационных активов компании (Cost Profiles) с
учетом данных по количеству и типам серверов, персональных компьютеров,
периферии и сетевого оборудования;
2) по заработанной плате сотрудников (Salary and Asset Scalars) c учетом
дохода компании, географического положения, типа производства и
размещения организации в крупном городе или нет;
3) по конечным пользователям ИТ (End User Scalars) с учетом типов
пользователей и их размещения (для каждого типа пользователей требуется
различная
организация
службы
поддержки
и
вычислительной
инфраструктуры);
4) по использованию методов так называемой лучшей практики в
области управления ИБ (Best Practices) с учетом реального состояния дел по
управлению
изменениями,
операциями,
активами,
сервисному
обслуживанию, обучению, планированию и управлению процессами;
5) по уровню сложности организации (Complexity Level) с учетом
состояния организации конечных пользователей (процент влияния – 40%),
технологии SW (40%), технологии HW (20%).
В целом, определение затрат компании на ИБ подразумевает решение
следующих трех задач:
1) оценку текущего уровня ТСО корпоративной системы защиты
информации и КИС в целом;
2) аудит ИБ компании на основе сравнения уровня защищенности
компании и рекомендуемого (лучшая мировая практика) уровня ТСО;
3) формирование целевой модели ТСО.
Рассмотрим каждую из перечисленных задач.
1. Оценка текущего уровня ТСО
В ходе работ по оценке ТСО проводится сбор информации и расчет
показателей ТСО организации по следующим направлениям:
43
1) существующие компоненты ИС (включая систему защиты
информации) и информационные активы компании (серверы, клиентские
компьютеры, периферийные устройства, сетевые устройства);
2) существующие расходы на аппаратные и программные средства
защиты информации (расходные материалы, амортизация);
3) существующие расходы на организацию ИБ в компании
(обслуживание СЗИ и СКЗИ, а также штатных средств защиты
периферийных устройств, серверов, сетевых устройств, планирование и
управление процессами защиты информации, разработка концепции и
политики безопасности и пр.);
4) существующие расходы на организационные меры защиты
информации;
5) существующие косвенные расходы на организацию ИБ в компании и,
в частности, обеспечение непрерывности или устойчивости бизнеса
компании.
2. Аудит информационной безопасности компании
По результатам собеседования с TOP-менеджерами компании и
проведения инструментальных проверок уровня защищенности организации
проводится анализ следующих основных аспектов:
1) политики безопасности;
2) организации защиты;
3) классификации и управления информационными ресурсами;
4) управления персоналом;
5) физической безопасности;
6) администрирования компьютерных систем и сетей;
7) управления доступом к системам;
8) разработки и сопровождения систем;
9) планирования бесперебойной работы организации;
10) проверки системы на соответствие требованиям ИБ.
3. Формирование целевой модели ТСО
На основе проведенного анализа выбирается модель ТСО, сравнимая со
средними и оптимальными значениями для репрезентативной группы
аналогичных организаций, имеющих схожие с рассматриваемой
организацией показатели по объему бизнеса. Такая группа выбирается из
банка данных по эффективности затрат на ИБ и эффективности
соответствующих профилей защиты аналогичных компаний.
Сравнение текущего показателя ТСО проверяемой компании с
модельным значением показателя ТСО позволяет провести анализ
эффективности организации ИБ компании. Результатом этого анализа
является определение «узких» мест в организации, причин их появления и
выработка дальнейших шагов по реорганизации корпоративной системы
защиты информации и обеспечения требуемого уровня защищенности КИС.
44
3.2 Экономическая эффективность обеспечения информационной
безопасности предприятия (организации)
Обеспечение защиты информации подразделением защиты информации
на практике происходит в условиях случайного воздействия самых разных
факторов (угроз). Некоторые из них систематизированы в стандартах,
некоторые заранее неизвестны и способны снизить эффективность или даже
скомпрометировать предусмотренные меры.
Оценка эффективности защиты должна обязательно учитывать как
объективные обстоятельства, так и вероятностные факторы.
Факторы,
влияющие
на
уровень
защиты
информации,
систематизированы в ГОСТ Р 51275-99. Однако независимо от воли и
предвидения разработчиков возникают и иные, заранее неизвестные при
проектировании систем защиты информации (СЗИ) обстоятельства,
способные
снизить
эффективность
защиты
или
полностью
скомпрометировать предусмотренные проектом меры информационной
безопасности.
Оценка эффективности защиты информации должна обязательно
учитывать эти объективные обстоятельства, а ее характеристики, как это
следует из ГОСТ Р 50922-96, должны иметь вероятностный характер.
Экономический эффект – конкретный результат экономической
деятельности вне зависимости от затрат.
Экономическая эффективность – результативность деятельности,
соотношение доходов и расходов, а также сопоставление результатов и
затрат на их достижение.
Различают два вида экономической эффективности:
1) абсолютную – соотношение результатов экономической деятельности
и затрат для достижения этих результатов;
2) сравнительную – показывает изменение результатов экономической
деятельности по отношению к уже достигнутым результатам.
Но сохраняется фундаментальная проблема, а именно достаточность и
эффективность систем защиты с точки зрения пользователя.
Мерилом потребительских качеств подобных систем может служить
соотношение «стоимость/эффективность», т.е., в конечном счете, баланс
между возможным ущербом от несанкционированных действий и размером
вложений, которые необходимо потратить для обеспечения защищенности
информационных ресурсов.
Инвестиции в разработку проектов защиты объекта, закупку
необходимых элементов безопасности и эксплуатацию систем защиты для
владельца информации есть не что иное, как материализованный
экономический ущерб. Идя на эти траты, руководитель надеется избежать
большего
ущерба,
связанного
с
возможным
нарушением
конфиденциальности.
45
Возникает дилемма: внести плату (частично реализовав ущерб) за
возможность уклонения с долей вероятности или допустить возможность
ущерба в полной мере, не тратя ничего.
Разумное решение состоит в определении оптимальных вложений в
системы защиты, обеспечивающих минимальные финансовые потери
владельца информации при несанкционированных действиях с нею.
Перед пользователем стоит задача создания оптимальной, с
экономической точки зрения, системы защиты информации. Эта задача не
так характерна для государственных организаций, однако весьма актуальна
для хозяйственно самостоятельных субъектов, ориентированных на
деятельность в рыночных условиях.
Наиболее надежными системами защиты информации (СЗИ) являются
те, в которых комплексно реализованы все возможные и доступные меры –
морально-этические, законодательные, организационные, экономические и
технические. Однако комплексные решения очень дороги и могут быть
реализованы далеко не всегда.
Кроме того, ущерб от утраты защищаемой информации или от разного
рода несанкционированных действий с ней может быть гораздо меньше
стоимости СЗИ. Поэтому уровень финансовых средств, выделяемых на
создание и эксплуатацию СЗИ, должен быть сбалансированным и
соответствовать масштабу угроз.
Если стоимость СЗИ по сравнению с предполагаемым ущербом мала, то
основным фактором риска собственника являются экономические потери от
несанкционированных действий с принадлежащей ему информацией. В
противоположной ситуации основные потери связаны с чрезмерно высокой
стоимостью СЗИ.
Необходимо при этом отметить, что затраты на СЗИ носят
детерминированный характер, поскольку они уже материализованы в
конкретные меры, способы и средства защиты, а вот ущерб, который может
быть нанесен при несанкционированных действиях, – величина случайная.
Такой качественный анализ позволяет предполагать, что существует
область экономически оптимальных СЗИ, обеспечивающих наименьший
риск собственника информации.
В качестве меры риска понимаются ожидаемые суммарные потери в
процессе защиты информации в течение определенного периода времени.
Моделирование риска собственника информации при создании и
эксплуатации СЗИ осуществлялось на основе функциональных зависимостей
между риском R, стоимостью СЗИ S, вероятностью преодоления СЗИ и
нанесения ущерба собственнику p и размером возникающего при этом ущерба
U.
Не останавливаясь на конкретных моделях, отметим, что принципиально
возможны три случая (p/s<0, p/s=0 и p/s>0), которые во многом
предопределяют облик оптимальных решений и соответствующих СЗИ, их
реализующих.
46
Типичная зависимость уровня риска от стоимости СЗИ, полученная при
условии того, что вероятность нанесения ущерба p уменьшается с ростом
стоимости системы S (т.е. соответствующая производная отрицательна, p/s <
0) приведена на рис. 3.1.
Ее анализ показывает, что применение даже недорогих способов и
средств защиты информации резко снижает суммарные потери собственника.
Таким образом, вложение средств в СЗИ уже в сравнительно небольших
размерах является очень эффективным. При некоторой стоимости СЗИ риск
имеет наименьшее значение. Эта стоимость является оптимальной.
Дальнейший, сверх оптимального значения, рост затрат на СЗИ будет
вести к увеличению экономических потерь собственника информации.
Его выигрыш в повышении надежности системы защиты и
соответствующем снижении вероятности ущерба от несанкционированных
действий будет нивелироваться и обесцениваться чрезвычайно высокой
стоимостью самой СЗИ.
Поэтому наилучшей стратегией собственника информации будет,
очевидно, использование СЗИ, обеспечивающих минимум риска.
Эффективность такого решения подтверждается результатами
численного моделирования, в соответствии с которыми использование
экономически оптимальных СЗИ приводит к снижению суммарных
ожидаемых потерь примерно на порядок по сравнению с базовыми
решениями.
Риск
Уровень
наименьших
потерь
Оптимальное значение
Стоимость ЗИ
Рис. 3.1. Зависимость уровня риска от стоимости СЗИ (p/S < 0)
Чем больше оценка размера вероятного ущерба, тем выше и
оптимальная стоимость СЗИ, однако эта зависимость достаточно гладкая,
особенно в диапазоне больших значений ожидаемого ущерба.
Следовательно, даже если ценность защищаемой информации возросла,
то это отнюдь не означает необходимости пропорционального наращивания
технических возможностей и соответствующего удорожания СЗИ.
47
Вероятность
нанесения
ущерба
Ущерб
Рис. 3.2. Зависимость вероятности несанкционированных действий в оптимальной СЗИ от
размера возможного ущерба
Результаты численного моделирования подтвердили, что экономически
оптимальная СЗИ не является самой безопасной.
Более того, вероятность ущерба от несанкционированных действий при
реализации такой системы может превышать в несколько раз минимально
возможные значения показателей безопасности защиты информации.
Поэтому применение изложенного подхода ограничено областью
экономической целесообразности.
В случаях, когда доминирующим требованием является обеспечение
абсолютной безопасности информации, реализация концепции экономически
оптимальной СЗИ не применима.
Это относится, например, к сведениям, составляющим государственную
тайну.
Тем не менее, оптимальные СЗИ обеспечивают адаптацию требований
безопасности к размеру возможного ущерба.
На рис. 3.2. приведена зависимость вероятности несанкционированных
действий с защищаемой информацией при оптимальной СЗИ от величины
ущерба.
Изложенные
результаты
базируются
на
вполне
логичном
предположении о том, что более высокий уровень безопасности достигается
за счет увеличения стоимости СЗИ.
Для придания завершенности, рассмотрим и два других случая.
1. Уровень универсальной обобщенной характеристики безопасности
СЗИ – вероятности нанесения ущерба не зависит от стоимости системы
защиты (p/s = 0).
К сожалению, такой случай правдоподобен. Например, если
организация-подрядчик, осуществляющая проектирование СЗИ, предлагает
48
своему заказчику более дорогое решение, хотя такой же уровень
безопасности может быть достигнут и за меньшую плату.
Оказывается, что такое недобросовестное решение приводит к
зависимости риска владельца защищаемой информации от стоимости СЗИ,
показанной на рис. 3.3., где р – вероятность нанесения ущерба, а стрелкой
показано направление изменения риска при увеличении этой вероятности.
Подобная зависимость технических характеристик СЗИ от ее стоимости
может реализовываться и в случае монополизма поставщика, инфляционных
процессах, недобросовестной конкуренции и т.д.
Риск
р=1
р=0
Стоимость ЗИ
Рис. 3.3. Зависимость уровня риска от стоимости СЗИ (p/S=0)
Если СЗИ фактически обладает высокими характеристиками
безопасности, то для снижения своего риска владельцу информационного
ресурса необходимо добиваться снижения стоимости системы. Если же
изначально характеристики безопасности СЗИ неудовлетворительны, то
единственно разумным решением является отказ от нее.
2. Уровень универсальной характеристики безопасности СЗИ имеет
тенденцию в некотором ценовом диапазоне к снижению с ростом ее
стоимости (p/s > 0).
Такая ситуация также возможна – например, когда элементы защиты
содержат не выявленные ошибки, а СЗИ «совершенствуется» путем
наращивания из таких элементов.
В этом случае зависимость риска владельца защищаемой информации от
стоимости СЗИ показана на рис. 3.4, где для сравнения пунктиром дан риск
при p/s < 0.
В связи с тем, что общий уровень риска возрастает во всем стоимостном
диапазоне, необходимо провести тщательный анализ и поиск оптимального
решения.
49
Стоимость СЗИ можно существенно снизить при использовании
страховых инструментов.
Эффективность этого метода во многом зависит от точности
определения страховой стоимости защищаемых информационных ресурсов, а
также
степени
соответствия
тарифной
ставки
вероятности
несанкционированных действий.
Риск
Стоимость ЗИ
Рис. 3.4. Зависимость вероятности нанесения ущерба от стоимости СЗИ (p/S>0)
Реализации страхования информации мешает фундаментальная
проблема отсутствия достаточно точных практических методик по
определению ее стоимости и обоснованию тарифов. Сколь сложен этот
вопрос, можно судить хотя бы по дискуссиям по смежной теме – концепции
общей стоимости владения информационной системой (TCO – total cost of
ownership).
ИТ-специалисты отмечают множество проблем при практическом
использовании данной концепции, хотя в основе информационных систем и
лежат вполне материальные вещи, имеющие известную стоимость.
Поэтому
попытки
использования
экспертного
метода
или
декларируемого рыночного подхода, основанного на оценке популярности и
востребованности информационного ресурса, во многих случаях заведомо
неприемлемы. Необходимо приложение дополнительных усилий для
разработки практических методик оценки стоимости информации.
В заключение отметим, что оптимальные СЗИ наиболее целесообразны
для экономически самостоятельных субъектов, которые в своей деятельности
вынуждены соблюдать баланс между затратами на СЗИ и возможным
ущербом.
Реализация таких систем защиты информации возможна при
тщательном учете всех аспектов, включая количественную оценку
безопасности и размера ожидаемых потерь.
50
Оценка экономически оптимальных параметров должна являться
основой формирования конкретного технического облика СЗИ.
К сожалению, сегодня проектирование СЗИ обычно осуществляется с
ориентацией на произвольно выделяемый бюджет, не имеющий
объективного обоснования по системе критериев «стоимость информации –
размер возможного ущерба – риски».
При этом обладатель информационных ресурсов, если не проводит
тщательного анализа и не оптимизирует размер выделяемых на СЗИ средств,
практически всегда оказывается в экономическом проигрыше.
Рассматриваемые
соотношения
«стоимость/эффективность»
мы
приходим к отношениям «ущерба/вложенных средств» на обеспечение
безопасности хозяйствующего субъекта. В связи с появлением понятия
ущерб, раскроем его.
3.3. Определение экономической эффективности защиты информации
Основой определения эффективности защиты информации – это
сопоставление отношения доходов и расходов.
Эффективность определяется с помощью различных показателей, при
этом сопоставляются данные, выражающие эффект (прибыль, объем
производства,
экономия
от
снижения
издержек)
с
затратами
обеспечивающими этот эффект (капитальные вложения, текущие издержки).
При решении экономических задач определяется результативность
каждого предприятия и производится сопоставление различных результатов.
Большое значение в расчете эффективности, в том числе и
эффективности защиты информации, имеет приведение расчетных величин к
сопоставимым значениям, которое производится до расчетов. Приведение
обеспечивает точность экономических расчетов и их обоснованность.
Расчеты производятся в одинаковых единицах измерения, за одинаковые
отрезки времени, на одинаковое количество объектов расчета.
Расчет экономического эффекта и эффективности защиты информации
основывается на выявлении ущерба, нанесенного владельцу информации
противоправным ее использованием, и позволяет оценить результативность
защиты информации.
Проведя анализ результатов расчетов, можно внести изменения в
систему защиты информации для более эффективной ее защиты,
недопущения разглашения охраняемой информации в дальнейшем, т.к.
разглашение данной информации влечет за собой огромные убытки (ущерб)
от контрафактного ее использования злоумышленником.
В ущерб входит также потерянная владельцем информации выгода
вследствие противоправного использования данной информации.
При расчетах данного ущерба применяются:
1) действительные цены на товары и услуги;
2) установленные законодательством нормативы платы за ресурсы;
3) установленные законодательством нормативы налогов;
51
4) правила и нормы расчетов физических и юридических лиц с банками;
5) ставки выплат установленных аналитическим путем для
лицензионных платежей;
6) официальный курс котировки валют.
Поскольку осуществляемые затраты и получаемые результаты в течение
всего срока противоправного использования информации неравноценны, то
при расчетах осуществляется приведение к единому расчетному году.
При расчёте экономической эффективности защиты информации можно
использовать следующие формулы:
П t = ( Rt − Ct − H t )at
(3.1)
где Пt – прибыль, оставшаяся в распоряжении нарушителя прав в
течение года t;
Rt – выручка от реализации продукции, созданной на базе
противоправного использования информации в году t;
Ct – себестоимость продукции, выпущенной в году t;
Ht – общая сумма налогов и других выплат, которые были произведены
в году t.
a = (1 + E ) tp −t
(3.2)
где a – коэффициент приведения разновременных результатов;
tp – год расчета;
Е – коэффициент доходности капитала;
t – текущий год.
N
ПT = a × ( П t × at )
t =1
(3.3)
где ПT – прибыль, оставшаяся в распоряжении злоумышленника за
период использования на внутреннем рынке;
Пt – прибыль, оставшаяся в распоряжении злоумышленника в течение года
t;
a – коэффициент приведения разновременных результатов.
Dэ = Z э × К в − З э
(3.4)
где D э – доход от экспорта контрафактной продукции. Ущерб владельца
информации;
Z э – валютная стоимость от экспорта продукции;
К в – курс валюты на дату расчета;
З э – затраты на изготовление экспортной продукции.
Робщ = Dэ + П t
(3.5)
где Робщ – общий ущерб владельца информации;
DЭ – ущерб владельца информации, понесенный при экспорте
контрафактной продукции;
52
ПТ – прибыль, оставшаяся в распоряжении похитителя информации за
период использования на внутреннем рынке.
У пр = С р × Х × Робщ
(3.6)
Где Упр – ущерб, понесенный владельцем информации из-за утраты
возможности получения дохода на основе лицензионного соглашения;
Ср – среднестатистическая ставка роялти, дается в процентах от годовой
прибыли;
Робщ – общий ущерб владельца информации.
Рсум = У пр + Робщ
(3.7)
где Рсум – стоимостная оценка предотвращенного ущерба;
Упр – ущерб, понесенный владельцем информации из-за утраты
возможности получения дохода на основе лицензионного соглашения;
Робщ – общий ущерб владельца информации.
Эзи =
Рсум
о
(3.8)
а ЗИИ
где ЭЗИ – эффективность ЗИ;
Рсум – стоимостная оценка предотвращенного ущерба;
åЗЗИ – суммарные затраты на ЗИ.
3.4 Виды и степень ущерба, наносимые обладателю информации в
результате ограничения доступа к ней
Говоря о видах ущерба, наносимого информации, необходимо
обратиться к нормативным правовым документам и провести разграничение
информации по форме владения и категориям доступа к ней.
Информационные ресурсы могут быть государственными и
негосударственными и как элемент состава имущества они находятся в
собственности граждан, органов государственной власти, органов местного
самоуправления, организаций и общественных объединений.
Информация в зависимости от категории доступа к ней подразделяется
на общедоступную информацию, а также на информацию, доступ к которой
ограничен федеральными законами (информация ограниченного доступа).
Информация в зависимости от порядка ее предоставления или
распространения подразделяется на:
1) информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, участвующих в
соответствующих отношениях;
3) информацию, которая в соответствии с федеральными законами
подлежит предоставлению или распространению;
4) информацию, распространение которой в Российской Федерации
ограничивается или запрещается (ст. 5 закона РФ «Об информации,
информационных технологиях и защите информации»).
53
Ограничение доступа к информации устанавливается федеральными
законами в целях защиты основ конституционного строя, нравственности,
здоровья, прав и законных интересов других лиц, обеспечения обороны
страны и безопасности государства.
Например, законодательством РФ рассматриваются следующие виды
информации конфиденциального характера: персональные данные; тайна
усыновления; личная и семейная тайна; тайна следствия и судопроизводства;
служебная тайна; служебная информация ограниченного распространения;
тайна связи, врачебная тайна; банковская тайна и т.д.
Рассмотрев деление информации по формам владения и категориям
доступа к ней, можем говорить о видах ущерба, наносимого информации:
1. Ущерб, наносимый безопасности Российской Федерации
Национальные интересы России – совокупность сбалансированных
интересов личности, общества и государства: в экономической сфере; во
внутриполитической; в международной; в информационной; в военной; в
пограничной; в экологической и других сферах.
Засекречивание сведений должно быть направлено на предотвращение
причинения ущерба обороноспособности, государственной безопасности,
политическим, экономическим, научно-техническим и другим интересам.
Описание
возможного
ущерба
должно
сопровождаться
соответствующими качественными и количественными показателями
(например, в виде материального ущерба), полученными расчетным или
экспертным путем.
Например, ущерб, который может быть причинен экономическим
интересам страны, в частности, может выражаться:
1) в срыве (затягивании) сроков выполнения государственных плановых
заданий;
2) в создании «узких мест» в развитии отдельных отраслей народного
хозяйства;
3) в подрыве торгово-экономических связей России с зарубежными
странами;
4) в создании трудностей в приобретении иностранного оборудования и
технологии, в том числе повышении цен на них, ограничении их поставок;
5) в компрометации продаваемых Россией на внешнем рынке изделий и
снижении цен на них;
6) в потере Россией приоритета в научных исследованиях, в
возможности патентования и продажи лицензий на научно-технические
достижения и др.
В интересах обеспечения информационной безопасности создается
система засекречивания информационных ресурсов Российской
Федерации, которая включает:
54
1) органы законодательной, исполнительной и судебной власти,
формирующих систему засекречивания и обеспечивающих управление
секретностью информационных ресурсов;
2) совокупность законодательных и нормативных документов,
определяющих систему засекречивания и порядок управления секретностью
информационных ресурсов;
3) перечни сведений, отнесенных к государственной тайне и
подлежащих засекречиванию в Российской Федерации.
Единая государственная политика в области засекречивания
информации достигается:
1) согласованной деятельностью органов власти по управлению
секретностью информационных ресурсов;
2) согласованностью законодательных и нормативных документов,
определяющих систему засекречивания и порядок управления секретностью
информационных ресурсов;
3) идентичностью построения перечней сведений, отнесенных к
государственной тайне и подлежащих засекречиванию в Российской
Федерации;
4) единой классификацией сведений, включаемых в перечни;
5) семантической и лингвистической согласованностью классов и
категорий сведений, относимых к государственной тайне;
6) единой научно обоснованной методикой определения степени
секретности сведений, включаемых в перечни;
7) единым порядком определения степени секретности отдельных
сведений и носителей информации на основе действующих перечней.
При засекречивании сведений проявляются как позитивные, так и
негативные последствия.
К основным позитивным последствиям можно отнести предотвращение
возможного ущерба безопасности государства из-за несанкционированного
распространения сведений.
Негативные последствия с издержками в виде затрат на защиту сведений
и упущенной выгоды, которая может быть получена при свободном
обращении информации.
Оценка позитивных и негативных последствий засекречивания
представляет собой значительные трудности, главным образом из-за
возможности проявления в самых различных, зачастую трудно
сопоставимых, сферах деятельности государства.
Для определения интегрального эффекта от использования информации
необходимо приведение множества частных оценок к единой шкале, в
качестве которой наиболее предпочтительна стоимостная шкала или шкала
«относительной важности».
Таким образом, базовой основой засекречивания информации является
интегральная оценка ущерба безопасности государства.
55
Определяя отрицательные последствия засекречивания сведений,
необходимо оценить факторы, которые обусловливают упущенную при этом
выгоду.
К числу таких факторов относятся:
1) политическая целесообразность открытого опубликования сведений;
2) значительный экономический эффект открытого использования
сведений на государственных предприятиях России;
3) ускорение научно-технического прогресса страны;
4) укрепление внешнеторговых позиций России на мировом рынке.
2. Ущерб, наносимый юридическим и физическим лицам.
Экономический ущерб, наносимый юридическим и физическим лицам в
результате утраты информации, находящейся в их собственности является
общим и основным, и складывается из двух частей:
1 – прямой ущерб, который вынуждено нести юридическое или
физическое лицо в результате «закрытия» информации, как находящейся в
его собственности, так и в связи с необходимостью работать с ней.
2 – косвенный ущерб, который юридическое или физическое лицо
понесло, несет или может понести в будущем («упущенная выгода»).
Данный вид ущерба связан с наложением ограничений на
экономическую деятельность юридического лица, и невозможностью
реализовать заложенные в «закрываемой» информации потенциальные
коммерческие возможности.
Следует отличать ущерб от убытков. Ущерб – это выражение в
денежной форме результатов неблагоприятного стечения обстоятельств, а
убытки – материальные потери и финансовые издержки (прямые и
косвенные) физических или юридических лиц, возникающие в результате
ликвидации последствий неблагоприятного стечения обстоятельств
(восстановления нарушенного имущества, здоровья, имиджа и т.д.).
Нанесенный вред оценивается на основе фактически установленного,
инструментально
измеренного
и документально подтвержденного
негативного воздействия на физическое или юридическое лицо, его
имущество.
Оценка выполняется экспертным путем (оценщиком) или по данным
оперативного и бухгалтерского учета.
Общая величина компенсации ущерба, наносимого негативным
воздействием на объект, определяется как сумма отдельных ущербов, если
таковые можно выделить и отдельно подсчитать.
3. Ущерб, наносимый физическим лицам.
Несанкционированное распространение конфиденциальной информации
может нанести ущерб интересам физических лиц, а именно:
1) в реализации конституционных прав и свобод;
2) в обеспечении личной безопасности;
3) в повышении качества и уровня жизни;
56
4) в физическом, духовном и интеллектуальном развитии человека и
гражданина.
Необходимо также выделить ущерб от снижения качества целевого
продукта, наносимый в результате некачественной (недостоверной)
информации.
В настоящее время значительное распространение и признание получила
точка зрения, что экономические показатели являются универсальными для
комплексной, обобщенной системной оценки явлений разной природы, в том
числе далеких от экономики.
Если еще недавно в анализ общественных, в том числе экономических
процессов, настойчиво внедрялись физические (так называемые
технократические) и биологические подходы и методы, то сейчас идет
обратный процесс – экономические представления все более настойчиво
используются в различных сферах, там, где, казалось бы, можно применить
такие основополагающие понятия рыночной экономики, как товар,
собственность, купля-продажа, возмещение экономического ущерба и т.д.
С принятием Закона Российской Федерации «О государственной тайне»
сделана попытка распространить эти подходы и на специфическую
информацию, содержащую сведения, составляющие государственную тайну.
Рассмотрим содержание проблем, связанных с разработкой методологии
оценки ущерба, наносимого предприятиям, учреждениям, организациям и
гражданам в результате засекречивания информации, находящейся в их
собственности.
Здесь имеет место ряд принципиальных трудностей, главными из
которых являются:
1) До настоящего времени не решены многие более общие проблемы,
связанные с представлением информации как товара, прав собственности на
информацию и др.
2) Законодательно продолжается решение проблемы собственности для
большинства элементов экономических отношений.
Основными участниками правоотношений по поводу возникновения
экономического ущерба, связанного с защитой государственной тайны, и
решения вопросов по его возмещению являются:
1) государство;
2) юридические лица: предприятия, учреждения, организации (далее
предприятия);
3) физические лица: граждане.
Отношения между ними регулируют следующие нормы:
1) нормы предписывающего характера:
нормы,
накладывающие
ограничения
на
деятельность
участников, в т.ч. содержащие запреты на совершение определенных
действий;
нормы, обязывающие участников совершать определенные
действия (в т.ч. связанные с защитой секретов);
57
2) нормы договорного характера:
договоры, имеющие форму сугубо добровольного соглашения
сторон;
договоры (соглашения сторон), имеющие так называемый
«добровольно-принудительный» характер (когда одна из сторон вынуждена
выполнять определенные требования, в т.ч. заключать сам договор и
включать в него определенные положения).
Любая норма предписывающего характера неминуемо затрудняет
деятельность лица (юридического или физического), снижая возможность
получения им определенной экономической выгоды, и/или принуждает его
совершать неоправданные с коммерческой точки зрения действия,
наносящие прямой или косвенный ущерб.
Подлежит ли этот ущерб возмещению юридическому или физическому
лицу со стороны государства, которое устанавливает эти предписания?
Ответ, как правило, отрицательный.
В смежных сферах, связанных с обеспечением безопасности,
государством на законодательном уровне выставляются бесчисленные
требования предписывающего характера, во многих случаях ведущие к
существенному снижению экономического эффекта и увеличению затрат
юридических и физических лиц без всякой компенсации со стороны
установителя этих требований – государства (примеры: требования пожарной
безопасности, требования экологической безопасности, требования
безопасности на транспорте и т.д. и т.п.).
Естественно, что нарушение этих требований влечет применение со
стороны государства (государственных органов) соответствующих санкций
административного, экономического, и/или уголовного характера.
Во всех этих случаях государство действует от имени общества, в целом
выступая защитником общественных интересов.
Поэтому юридические и физические лица, по отношению, к которым
выдвигаются подобные требования, в целом соглашаются их выполнять, как
правило, безропотно неся соответствующие дополнительные экономические
потери.
Определяющим здесь является достаточно четкое понимание
юридическими и физическими лицами смысла и обоснованности требований
пожарной, экологической и иной безопасности.
Исторически
требования
безопасности
в
области
защиты
государственной тайны выставлялись аналогично – как нормы
предписывающего характера, устанавливающие ограничения на деятельность
юридических и физических лиц и обязывающие осуществлять связанные с
дополнительными затратами мероприятия по защите государственной тайны.
Аналогично предусматривались и санкции за нарушение этих норм:
уголовные и административные (экономические, насколько нам известно, не
получили распространения).
58
В чем же отличие ситуации в области защиты государственной тайны от
обеспечения пожарной, экологической, транспортной и иной безопасности?
Во-первых, для пожарной и прочей безопасности имеет место
общественное признание устанавливаемых требований, причем, как правило,
обоснованное: и теми, кто эти нормы выполняет (юридические и физические
лица), и теми, кто их устанавливает (государство, государственный орган, т.
е. достигается своеобразный «общественный договор» (консенсус)).
В области защиты государственной тайны такого «общественного
согласия» нет, более того часто имеют место сугубо конъюнктурные
интересы в части решения вопросов засекречивания и рассекречивания
информации и ее носителей.
Во-вторых, как правило, в области пожарной и иной сферах достаточно
четко представимы (даже измеримы) масштабы и вероятность негативных
последствий, связанных с нарушением установленных требований (чисто
экономического ущерба, человеческих жертв и т.д.).
В области защиты государственной тайны последствия разглашения
секретных сведений, за исключением очень редких случаев, носят сугубо
гипотетический, умозрительный характер, а поэтому малоубедительны, даже,
если возможный ущерб оценен на хорошей методической основе, с
использованием достаточно изощренных математических моделей, с
привлечением авторитетных специалистов-экспертов.
В целях пояснения ситуации заметим, что основной массив сведений,
содержащих
государственную
тайну,
связан
с
вопросами
обороноспособности страны.
Для этих сведений оценка ущерба от разглашения государственной
тайны, как правило, требует предметного рассмотрения определенных
сценариев и вариантов войны, вооруженных конфликтов, особенности
боевого применения вооружения и военной техники, т.е. решения задач, по
которым сейчас нет достаточного понимания даже у профессионалов и
общественного согласия даже на принципиальном уровне – на уровне
военной доктрины.
Нормы предписывающего характера отражают авторитарные черты,
которые в большей или меньшей степени присущи любому государству.
Как правило (в подавляющем большинстве случаев), отношения по
поводу сохранения государственной тайны строятся (должны строиться)
между государством, с одной стороны, и юридическими лицами
(предприятиями, организациями, учреждениями), с другой.
Здесь важно то, что практически только предприятия способны
достаточно полно реализовать комплекс мер, необходимых для защиты
государственной тайны, соответственно претендовать на возмещение своих
затрат со стороны государства, полноценно выступать ответчиками по
возмещению экономических потерь, нанесенных государству в случае
несанкционированного
распространения
сведений,
составляющих
государственную тайну.
59
В свою очередь «внутренней кухней» предприятий является защита в
процессе их производственной деятельности носителей секретной
информации (в процессе производства материальных или информационных
продуктов,
конструкторских
разработок,
научных
исследований,
бюрократического бумаготворчества и т.д.), а также взаимоотношения с
работниками этих предприятий – как с «творцами» сведений, содержащими
государственную тайну, так и с «пользователями» этой информации.
После упорядочения отношений с государством на уровне предприятия
должен решаться и регламентироваться весь комплекс производственнотехнических и экономических проблем, связанных с защитой информации, в
т.ч. определяться фактический объем работ и затрат по защите информации,
экономическая ответственность работников за сохранение государственной
тайны, материальная компенсация за соблюдение режима секретности и т.д.
Экономические отношения по поводу защиты государственной тайны
должны строиться по двухуровневой схеме:
1-й уровень: государство ↔
2-й уровень: предприятие ↔
предприятие ↔
предприятие («вертикаль»)
его работники («вертикаль»)
др. предприятия («горизонталь»)
Указанные отношения между предприятиями заведомо должны
строиться только на основе договорных отношений.
Фактически предприятие, решая принятые на себя обязательства по
защите государственной тайны, осуществляет:
1) техническую, организационную и иную защиту НОСИТЕЛЕЙ
сведений, составляющих государственную тайну;
2) мероприятия по предотвращению утечки секретной информации
через работников предприятия (согласно ст. 2 Закона «О государственной
тайне» не относятся к носителям сведений).
Можно
выделить следующие
основные
типы предприятий
(юридических лиц):
1 – предприятия, производящие продукцию, являющуюся носителями
сведений, составляющих государственную тайну (это преимущественно
промышленные предприятия, производящие вооружение и военную
технику);
2 – организации, эксплуатирующую подобную продукцию (это
преимущественно военные организации);
3 – организации, осуществляющие новые разработки (КБ) или ведущие
научные исследования (НИИ);
4 – учреждения органов управления, для которых основным видом
носителей являются документы («бумаги»).
Все эти предприятия (юридические лица) имеют много общего в части
структуры затрат на защиту государственной тайны.
Их специфика определяется:
60
во-первых, доминирующим видом «продукции» предприятия,
рассматриваемой в качестве носителя секретной информации;
во-вторых, «коммерческой ценностью» этой продукции для
предприятия, что является существенным при определении упущенной
выгоды предприятия в связи с засекречиванием сведений.
В частности, специфика «продукции» предприятия существенно влияет
на реальные возможности по оценке возможного ущерба: будь то научная
идея (тем более фундаментального характера), конструкторская разработка
перспективного характера, техническое решение, заложенное в серийно
выпускаемом образце ВВТ, или практически применяемая технология.
Закон РФ «О государственной тайне», регламентирующий отношения,
возникающие в связи с отнесением сведений к государственной тайне, их
рассекречиванием и защитой в интересах обеспечения безопасности РФ,
устанавливает, что степень секретности сведений, составляющих
государственную тайну, должна соответствовать степени тяжести ущерба,
который может быть нанесен безопасности РФ вследствие распространения
указанных сведений.
Устанавливаются 3 степени секретности сведений, составляющих
государственную тайну, и соответствующие этим степеням грифы
секретности для носителей указанных сведений:
«особой важности»,
«совершенно секретно»
и «секретно».
В законе РФ «О государственной тайне» ст. 6, выделены принципы
засекречивания информации:
1) законность;
2) обоснованность;
3) своевременность.
Законность отнесения сведений к государственной тайне и их
засекречивание заключается в соответствии засекречиваемых сведений
положениям статей 5 и 7 Закона РФ «О государственной тайне» и
законодательству Российской Федерации о государственной тайне.
Обоснованность отнесения сведений к государственной тайне и их
засекречивание заключается в установлении путем экспертной оценки
целесообразности засекречивания конкретных сведений, вероятных
экономических и иных последствий этого акта исходя из баланса жизненно
важных интересов государства, общества и граждан.
Своевременность отнесения сведений к государственной тайне и их
засекречивание
заключается
в
установлении
ограничений
на
распространение этих сведений с момента их получения (разработки) или
заблаговременно.
Таким образом, основанием для засекречивания сведений, полученных
(разработанных) в результате управленческой, производственной, научной и
иных видов деятельности органов государственной власти, предприятий,
учреждений и организаций, является их соответствие действующим в данных
61
органах, на данных предприятиях, в данных учреждениях и организациях
перечням сведений, подлежащих засекречиванию.
Отнесение сведений к государственной тайне осуществляется в
соответствии с их отраслевой или ведомственной принадлежностью.
Степень наносимого ущерба информации
При определении степени секретности необходимо оценивать ущерб от
возможной утечки сведений.
Возможный ущерб может наступить в результате несанкционированного
распространения сведений, составляющих государственную тайну,
оценивается с использованием количественных и качественных показателей.
Для этого, как правило, используются два способа оценки ущерба от
возможной утечки:
1) при анализе конкретных задач с малым массивом сведений
используются расчетные методы;
2) при анализе больших массивов сведений предлагается критериальный
метод анализа сведений и оценки ущерба от возможной утечки сведений.
Основными
критериями
были
оборонный,
политический,
экономический и научно-технический. Затем общие критерии расчленяются
на компоненты для повышения точности экспертных оценок.
Выделим факторы, которые необходимо оценивать при засекречивании
информации и учитывать при оценке возможного ущерба при
распространении информации:
1) важность, новизна, практическая ценность результатов работ;
2) имеющиеся публикации за рубежом по отечественным и аналогичным
зарубежным работам, степень их достоверности, возможные причины
отсутствия публикаций по зарубежным работам;
3) возможные каналы утечки информации по проводимым работам;
4) обмен информацией, касающейся конкретных, подлежащих
засекречиванию сведений, в рамках научно-технического сотрудничества с
зарубежными странами;
5) длительность ведения работ;
6) данные о фактической (предполагаемой) осведомленности
противника о работах и конкретных сведениях;
7) данные об устремлениях противника к получению информации о
проводимых работах и конкретных сведениях;
8) этапы, стадии работ и их характер (НИР, изготовления, испытания,
эксплуатация);
9) снижение эффективности наших средств (систем, сил) вооруженной
борьбы;
10) соотношение ущербов от закрытия и открытия информации;
11) категории распространения информации, возможные каналы ее
утечки, возможности разведки противника и время, через которое
информация будет ему известна;
12) возможные меры и эффективность противодействия противника;
13) стоимость системы защиты.
62
Критерии отнесения информации к защищаемой:
1) размеры ущерба (тип ущерба, вид ущерба);
2) вероятность получения ущерба;
3) время нанесения ущерба;
4) возможность защиты информации;
5) период, на который целесообразно закрывать информацию;
6) затраты на защиту информации;
7) упущенную выгоду от закрытия информации (прирост боевой
эффективности вооружения, войск;
8) народнохозяйственный эффект, дополнительные затраты на НИОКР и
др. работы и т.д..
Таким образом, всесторонний анализ факторов и критериев,
используемых в настоящее время при засекречивании информации,
позволяет определить ключевым критерием величину возможного ущерба,
который может быть нанесен государству, обществу, в результате раскрытия
или утечки информации.
Можно отметить, что качественные критерии не всегда позволяют
правильно подойти к определению степени секретности сведений.
Среди критериев оценки степени секретности, целесообразно
использовать стоимостные оценки ущерба (разработать шкалу материального
ущерба в зависимости от значений, устанавливаемых соответствующей
степенью секретности), выделить характер сведений (относимость их к
защищаемым областям деятельности государства), их важность (новизна,
актуальность, эффективность, степень обобщенности), возможность защиты
и материальные затраты на их охрану.
Современный уровень развития экономических моделей дает
возможность получить объективные оценки ущерба от разглашения
сведений.
Если возможный ущерб незначителен и не представляет опасности для
общества, или отсутствует принципиальная возможность защиты сведений,
или затраты на защиту сведений, несмотря на возможный ущерб, превышают
его, то сведения подлежат отнесению к категории несекретных и должны
быть исключены из дальнейшего рассмотрения.
Засекречивание информации всегда связано с наступлением
определенных отрицательных последствий для общества, в число которых
входят, с одной стороны, затраты на обеспечение режимных мероприятий, а с
другой – потери от ограничений в пользовании информацией с
ограниченным доступом.
63
ГЛАВА 4
ПОРЯДОК ОПРЕДЕЛЕНИЯ ЗАТРАТ НА ЗАЩИТУ
ИНФОРМАЦИИ
4.1. Прямые и косвенные затраты на защиту информации предприятия
(организации)
Как уже отмечалось, безопасность предприятия обеспечивается
комплексом мер на всех этапах его жизненного цикла, его информационной
системы и в общем случае складывается из стоимости:
1) проектных работ;
2) закупки и настройки программно-технических средств защиты,
включающих следующие основные группы: межсетевые экраны, средства
криптографии, антивирусы и AAA (средства аутентификации, авторизации и
администрирования);
3) затрат на обеспечение физической безопасности;
4) обучения персонала;
5) управления и поддержки системы (администрирование безопасности);
6) аудита защиты информации;
7) периодической модернизации системы защиты информации и т.д.
Стоимостным показателем экономической эффективности комплексной
системы защиты информации будет сумма прямых и косвенных затрат на
организацию (модернизации), эксплуатацию и сопровождение системы
защиты информации в течение года.
Он может рассматриваться как ключевой количественный показатель
эффективности организации защиты информации в компании, так как
позволит не только оценить совокупные затраты на защиту, но управлять
этими затратами для достижения требуемого уровня защищенности
предприятия.
При этом прямые затраты включают как капитальные компоненты
затрат (ассоциируемые с фиксированными активами или «собственностью»),
так и трудозатраты, которые учитываются в категориях операций и
административного управления. Сюда же относят затраты на услуги
удаленных пользователей и др., связанные с поддержкой деятельности
организации.
В свою очередь косвенные затраты отражают влияние комплексной
системы безопасности и подсистемы защиты информации на служащих
посредством таких измеримых показателей, как простои и «»зависания»»
корпоративной системы защиты информации и комплексной системы
безопасности в целом, затраты на операции и поддержку (не относящиеся к
прямым затратам).
Очень часто косвенные затраты играют значительную роль, так как они
обычно изначально не отражаются в бюджете на комплексную систему
безопасности, а выявляются явно при анализе затрат в последствии, что в
конечном счете приводит к росту «скрытых» затрат компании.
64
Рассмотрим, как можно определить прямые (бюджетные) и косвенные
затраты на комплексную систему безопасности.
Предположим, что руководство предприятия проводит работы по
внедрению на предприятии комплексной системы защиты информации
(КСЗИ).
Уже определены объекты и цели защиты, угрозы информационной
безопасности и меры по противодействию им, приобретены и установлены
необходимые средства защиты информации.
Для того, чтобы требуемый уровень защиты ресурсов реально
достигался и соответствовал ожиданиям руководства предприятия,
необходимо ответить на следующие основные вопросы, связанные с
затратами на информационную безопасность:
1) Неизбежны ли затраты на информационную безопасность?
2) Какова зависимость между затратами на информационную
безопасность и достигаемым уровнем информационной безопасности?
3) Представляют ли затраты на информационную безопасность
существенную часть от оборота компании?
4) Какую пользу можно извлечь из анализа затрат на информационную
безопасность?
Как правило, затраты на информационную безопасность подразделяются
на следующие категории:
1) Затраты на формирование и поддержание звена управления системой
защиты информации (организационные затраты).
2) Затраты на контроль, то есть на определение и подтверждение
достигнутого уровня защищенности ресурсов предприятия.
3) Внутренние затраты на ликвидацию последствий нарушения
информационной безопасности – затраты, понесенные организацией в
результате того, что требуемый уровень защищенности не был достигнут.
4) Внешние затраты на ликвидацию последствий нарушения
информационной безопасности – компенсация потерь при нарушениях
политики безопасности в случаях, связанных с утечкой информации, потерей
имиджа компании, утратой доверия партнеров и потребителей и т. п.
5) Затраты на техническое обслуживание системы защиты информации
и мероприятия по предотвращению нарушений политики безопасности
предприятия (затраты на предупредительные мероприятия).
При этом обычно выделяют единовременные и систематические
затраты.
Единовременные – затраты на формирование безопасности
предприятия: организационные затраты и затраты на приобретение и
установку средств защиты.
Систематические – затраты на эксплуатацию и обслуживание.
Классификация затрат условна, так как сбор, классификация и анализ
затрат на информационную безопасность – внутренняя деятельность
предприятий, и детальная разработка перечня зависят от особенностей
конкретной организации.
65
Главное при определении затрат на систему безопасности –
взаимопонимание и согласие по статьям расходов внутри предприятия.
Кроме того, категории затрат должны быть постоянными и не должны
дублировать друг друга.
Неизбежны ли затраты на информационную безопасность?
Невозможно полностью исключить затраты на безопасность, однако они
могут быть приведены к приемлемому уровню.
Некоторые виды затрат на безопасность являются абсолютно
необходимыми, а некоторые могут быть существенно уменьшены или
исключены. Последние – это те, которые могут исчезнуть при отсутствии
нарушений безопасности или сократятся, если количество и разрушающее
воздействие нарушений уменьшатся.
При соблюдении безопасности и проведении профилактики нарушений
можно исключить или существенно уменьшить следующие затраты:
1) на восстановление системы безопасности до соответствия
требованиям безопасности;
2) на восстановление ресурсов информационной среды предприятия;
3) на переделки внутри системы безопасности;
4) на юридические споры и выплаты компенсаций;
5) на выявление причин нарушения безопасности.
Необходимые затраты – это те, которые необходимы даже если
уровень угроз безопасности достаточно низкий. Это затраты на поддержание
достигнутого уровня защищенности информационной среды предприятия.
Неизбежные затраты могут включать:
1) обслуживание технических средств защиты;
2) конфиденциальное делопроизводство;
3) функционирование и аудит системы безопасности;
4) минимальный уровень проверок и контроля с привлечением
специализированных организаций;
5) обучение персонала методам информационной безопасности.
Какова зависимость между затратами на информационную
безопасность и уровнем защищенности предприятия?
Сумма всех затрат на повышение уровня защищенности предприятия от
угроз информационной безопасности составляет общие затраты на
безопасность.
Взаимосвязь между всеми затратами на безопасность, общими затратами
на безопасность и уровнем защищенности информационной среды
предприятия обычно имеет вид функции (см. рис. 4.1.).
Общие затраты на безопасность складываются из затрат на
предупредительные мероприятия, затрат на контроль и восполнение потерь
(внешних и внутренних).
С изменением уровня защищенности информационной среды
изменяются величины составляющих общих затрат и, соответственно, их
сумма – общие затраты на безопасность. Мы не включаем в данном случае
66
единовременные затраты на формирование информационной безопасности
предприятия, так как предполагаем, что такая система уже выработана.
Снижение общих затрат
В примере (рис. 4.1.) показано, что достигаемый уровень защищенности
измеряется в категориях «большой риск»» и «риск отсутствует»
(«совершенная защита»).
Рассматривая левую сторону графика («большой риск»), мы видим, что
общие затраты на безопасность высоки в основном потому, что высоки
потери на компенсацию при нарушениях политики безопасности. Затраты на
обслуживание системы безопасности очень малы.
Если мы будем двигаться вправо по графику, то достигаемый уровень
защищенности будет увеличиваться (снижение информационного риска).
Это происходит за счет увеличения объема предупредительных
мероприятий, связанных с обслуживанием системы защиты. Затраты на
компенсацию НПБ уменьшаются в результате предупредительных действий.
Как показано на графике, на этой стадии затраты на потери падают
быстрее, нежели возрастают затраты на предупредительные мероприятия.
Как результат – общие затраты на безопасность уменьшаются. Изменения
объема затрат на контроль незначительны.
Рис. 4.3. Взаимосвязь между затратами на безопасность и достигаемым уровнем
защищенности
67
Увеличение общих затрат
Если двигаться по графику вправо за точку экономического равновесия
(т.е. достигаемый уровень защищенности увеличивается), ситуация начинает
меняться.
Добиваясь устойчивого снижения затрат на компенсацию нарушений
политики безопасности, мы видим, что затраты на предупредительные
мероприятия возрастают все быстрее и быстрее.
Получается, что значительное количество средств должно быть
затрачено на достижение достаточно малого снижения уровня риска.
График (рис. 4.1.) отражает только общий случай, так как построен с
учетом некоторых допущений, которые не всегда соответствуют реальным
ситуациям.
Первое допущение заключается в том, что предупредительная
деятельность по техническому обслуживанию комплекса программнотехнических средств защиты информации и предупреждению нарушений
политики безопасности предприятия соответствует следующему правилу: в
первую очередь рассматриваются те проблемы, решение которых дает
наибольший эффект по снижению информационного риска. Если не
следовать этой модели, то вид графика станет совсем иным.
Второе допущение заключается в том, что точка экономического
равновесия не изменяется во времени. На практике это допущение часто не
выполняется.
Основные факторы:
1) эффективность предупредительной деятельности невелика.
В рассматриваемой модели предполагается, что такая деятельность
позволяет не повторять допущенные ранее ошибки.
На практике это не так, и для достижения должного эффекта требуются
большие затраты. В результате точка экономического равновесия сдвигается
вправо;
2) устаревшие системы ИБ;
3) разработчики средств защиты не успевают за активностью
злоумышленников, которые находят все новые и новые бреши в системах
защиты.
Кроме того, информатизация предприятия может породить новые
проблемы, решение которых потребует дополнительных предупредительных
затрат.
После того, как уже установлена система классификации и кодирования
различных элементов затрат на безопасность, необходимо выявить
источники данных о затратах.
Такая информация уже может существовать, часть ее достаточно легко
получить, в то время как другие данные определить будет значительно
труднее, а некоторые могут быть недоступны.
68
Затраты на контроль
Основной объем затрат составляет оплата труда персонала службы
безопасности и прочего персонала предприятия, занятого проверками и
испытаниями. Эти затраты могут быть определены весьма точно.
Оставшиеся затраты в основном связаны со стоимостью конкретных
специальных работ и услуг внешних организаций и материальнотехническим обеспечением системы безопасности. Они могут быть
определены напрямую.
Внутренние затраты на компенсацию нарушений безопасности
Определение элементов затрат этой группы намного сложнее, но
большую часть установить достаточно легко:
1) установка патчей или приобретение последних версий программных
средств защиты информации;
2) приобретение технических средств взамен пришедших в негодность;
3) затраты на восстановление баз данных и прочих информационных
массивов;
4) затраты на обновление планов обеспечения непрерывности
деятельности службы безопасности;
5) затраты на внедрение дополнительных средств защиты, требующих
существенной перестройки системы безопасности.
Труднее выявить объемы заработной платы и накладных расходов:
1) по проведению дополнительных испытаний и проверок
технологических информационных систем;
2) по утилизации скомпрометированных ресурсов;
3) по проведению повторных проверок и испытаний системы защиты
информации;
4) по проведению мероприятий по контролю достоверности данных,
подвергшихся атаке на целостность;
5) по проведению расследований нарушений безопасности;
Выяснение затрат на эти виды деятельности связаны с различными
отделами:
1) отделом информационных технологий;
2) контрольно-ревизионным и финансовым отделами;
3) службой безопасности.
Поскольку каждый вовлеченный сотрудник вряд ли в течение всего
рабочего дня решает проблемы, связанные только лишь с внутренними
потерями от нарушений политики безопасности, оценка потерь должна быть
произведена с учетом реально затраченного на эту деятельность времени.
Таким образом, мы опять видим, что основные виды затрат в этой категории
могут быть определены с достаточной степенью точности.
Внешние затраты на компенсацию нарушений безопасности
Часть внешних затрат на компенсацию нарушений политики
безопасности связана с тем, что были скомпрометированы коммерческие
данные партнеров и персональные данные пользователей услуг предприятия.
69
Затраты, связанные с восстановлением доверия, определяются таким же
образом, как и в случае внутренних потерь.
Однако существуют и другие затраты, которые определить достаточно
сложно. В их числе:
1) затраты на проведение дополнительных исследований и разработку
новой рыночной стратегии;
2) потери от снижения приоритета в научных исследованиях и
невозможности патентования и продажи лицензий на научно-технические
достижения;
3) затраты, связанные с ликвидацией «узких мест» в снабжении,
производстве и сбыте продукции;
4) потери от компрометации производимой предприятием продукции и
снижения цен на нее;
5) возникновение трудностей в приобретении оборудования или
технологий, в том числе повышение цен на них, ограничение объема
поставок.
Перечисленные затраты могут быть вызваны действиями персонала
различных отделов, например, проектного, технологического, плановоэкономического, юридического, хозяйственного, отдела маркетинга,
тарифной политики и ценообразования.
Поскольку сотрудники всех этих отделов вряд ли будут заняты полный
рабочий день вопросами внешних потерь, то установление объема затрат
необходимо вести с учетом реально затраченного времени.
Один из элементов внешних потерь невозможно точно вычислить – это
потери, связанные с подрывом имиджа предприятия, снижением доверия
потребителя к продукции и услугам предприятия.
Именно по этой причине многие корпорации скрывают, что их сервис
небезопасен. Корпорации боятся обнародования такой информации даже
больше, чем атаки в той или иной форме.
Однако многие предприятия игнорируют эти затраты на основании того,
что их нельзя установить с какой-либо степенью точности – они только
предположительны.
Затраты на предупредительные мероприятия
Эти затраты, вероятно, наиболее сложно оценить, поскольку
предупредительные мероприятия проводятся в разных отделах и затрагивают
многие службы.
Эти затраты могут появляться на всех этапах жизненного цикла
ресурсов информационной среды предприятия:
1) планирования и организации;
2) приобретения и ввода в действие;
3) доставки и поддержки;
4)
мониторинга
процессов,
составляющих
информационную
технологию.
В дополнение к этому, большинство затрат данной категории связано с
работой персонала службы безопасности.
70
Затраты на предупредительные мероприятия в основном включают
заработную плату и накладные расходы.
Однако точность их определения в большей степени зависит от точности
установления времени, затраченного каждым сотрудником в отдельности.
Некоторые предупредительные затраты легко выявить напрямую. Они, в
частности, могут включать оплату различных работ сторонних организаций,
например:
1) обслуживание и настройку программно-технических средств защиты,
операционных систем и используемого сетевого оборудования;
2) проведение инженерно-технических работ по установлению
сигнализации, оборудованию хранилищ конфиденциальных документов,
защите телефонных линий связи, средств вычислительной техники и т. п.;
3) доставку конфиденциальной информации;
4) консультации;
5) курсы обучения.
Источники сведений о рассмотренных затратах
При определении затрат на обеспечение ИБ необходимо помнить, что:
1) затраты на приобретение и ввод в действие программно-технических
средств могут быть получены из анализа накладных, записей в складской
документации и т. п.;
2) выплаты персоналу могут быть взяты из ведомостей;
3) объемы выплат заработной платы должны быть взяты с учетом
реально затраченного времени на проведение работ по обеспечению
информационной безопасности если только часть времени сотрудника
затрачивается на деятельность по обеспечению информационной
безопасности, то целесообразность оценки каждой из составляющих затрат
его времени не должна подвергаться сомнению;
4) классификация затрат на безопасность и распределение их по
элементам должны стать частью повседневной работы внутри предприятия.
С этой целью персоналу должны быть хорошо известны различные элементы
затрат и соответствующие им коды.
Примерный перечень затрат предприятия (организации) на обеспечение
информационной безопасности представлен в таблице 4.1., с обязательным
предположением, что основы безопасности на предприятии сформированы.
Таблица 4.1.
ЗАТРАТЫ НА ОБСЛУЖИВАНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ
(затраты на предупредительные мероприятия)
Направления
Вид затрат
Управление
Затраты на планирование системы защиты информации
системой защиты предприятия.
информации
Затраты на изучение возможностей информационной
инфраструктуры
предприятия
по
обеспечению
безопасности
информации
ограниченного
распространения.
Затраты на осуществление технической поддержки
71
Направления
Регламентное
обслуживание
средств
защиты
информации
Аудит
системы
безопасности
Обеспечение
должного качества
информационных
технологий
Обеспечение
требований
стандартов
Обучение
персонала
Затраты
контроль
на
Вид затрат
производственного персонала при внедрении средств
защиты и процедур, а также планов по защите
информации.
Проверка сотрудников на лояльность, выявление угроз
безопасности.
Организация системы допуска исполнителей и
сотрудников конфиденциального делопроизводства с
соответствующими штатами.
Затраты на обслуживание и настройку программнотехнических средств защиты, операционных систем,
используемого сетевого оборудования.
Затраты,
связанные
с
организацией
сетевого
взаимодействия
и
безопасного
использования
информационных систем.
Затраты на поддержание системы резервного
копирования и ведение архива данных.
Проведение
инженерно-технических
работ
по
установлению сигнализации, оборудованию хранилищ
конфиденциальных документов, защите телефонных
линий связи, средств вычислительной техники и т. п.
Затраты
на
контроль
изменений
состояния
информационной среды предприятия.
Затраты на систему контроля за действиями
исполнителей.
Затраты на обеспечение соответствия требованиям
качества информационных технологий, в том числе
анализ
возможных
негативных
аспектов
информационных технологий, которые влияют на
целостность и доступность информации.
Затраты на доставку (обмен) конфиденциальной
информации.
Удовлетворение
субъективных
требований
пользователей: стиль, удобство интерфейсов и др.
Затраты на обеспечение соответствия принятым
стандартам и требованиям, достоверности информации,
действенности средств защиты.
Повышение квалификации сотрудников предприятия в
вопросах использования имеющихся средств защиты,
выявления и предотвращения угроз безопасности.
Развитие нормативной базы службы безопасности.
Плановые проверки и испытания.
Затраты на проверки и испытания программнотехнических средств защиты информации.
Затраты на проверку навыков эксплуатации средств
72
Направления
Внеплановые
проверки
испытания
Контроль
соблюдением
безопасности
и
за
Затраты
на
внешний аудит
Пересмотр
информационной
безопасности
предприятия
(проводится
периодически)
Затраты
на
ликвидацию
последствий
нарушения режима
безопасности
Вид затрат
защиты персоналом предприятия.
Затраты на обеспечение работы лиц, ответственных за
реализацию конкретных процедур безопасности по
подразделениям.
Оплата работ по контролю правильности ввода данных
в прикладные системы.
Оплата инспекторов по контролю требований,
предъявляемых к защитным средствам при разработке
любых систем (контроль выполняется на стадии
проектирования и спецификации требований).
Оплата
работы
испытательного
персонала
специализированных организаций.
Обеспечение испытательного персонала (внутреннего и
внешнего) материально-техническими средствами.
Затраты
на
контроль
реализации
функций,
обеспечивающих управление защитой коммерческой
тайны.
Затраты на организацию временного взаимодействия и
координации между подразделениями для решения
повседневных конкретных задач.
Затраты на проведение аудита безопасности по каждой
автоматизированной
информационной
системе,
выделенной в информационной среде предприятия.
Материально-техническое
обеспечение
системы
контроля доступа к объектам и ресурсам предприятия.
Затраты на контрольно-проверочные мероприятия,
связанные
с
лицензионно-разрешительной
деятельностью в сфере защиты информации.
Затраты на идентификацию угроз безопасности.
Затраты на поиск уязвимостей системы защиты
информации.
Оплата работы специалистов, выполняющих работы по
определению возможного ущерба и переоценке степени
риска.
Восстановление системы безопасности до соответствия
требованиям политики безопасности.
Установка патчей или приобретение последних версий
программных средств защиты информации.
Приобретение технических средств взамен пришедших
в негодность.
Проведение дополнительных испытаний и проверок
технологических информационных систем.
Затраты
на
утилизацию
скомпрометированных
ресурсов.
73
Направления
Восстановление
информационных
ресурсов
предприятия
Затраты
на
выявление причин
нарушения
безопасности
Затраты
переделки
на
Внешние затраты
на
ликвидацию
последствий
нарушения
безопасности
Потеря
новаторства
Прочие затраты
Вид затрат
Затраты на восстановление баз данных и прочих
информационных массивов.
Затраты на проведение мероприятий по контролю
достоверности данных, подвергшихся атаке на
целостность.
Затраты на проведение расследований нарушений
безопасности (сбор данных о способах совершения,
механизме и способах сокрытия неправомерного деяния
поиск следов, орудий и предметов посягательства;
выявление мотивов неправомерных действий и т. д.).
Затраты
на
обновление
планов
обеспечения
непрерывности деятельности службы безопасности.
Затраты на внедрение дополнительных средств защиты,
требующих существенной перестройки системы
безопасности.
Затраты на повторные проверки и испытания системы
защиты информации.
Обязательства перед государством и партнерами.
Затраты на юридические споры и выплаты
компенсаций.
Потери в результате разрыва деловых отношений с
партнерами.
Затраты на проведение дополнительных исследований и
разработки новой рыночной стратегии.
Отказ от организационных, научно-технических или
коммерческих решений, ставших неэффективными в
результате утечки сведений и затраты на разработку
новых средств ведения конкурентной борьбы.
Потери от снижения приоритета в научных
исследованиях и невозможности патентования и
продажи лицензий на научно-технические достижения.
Заработная
плата
секретарей
и
служащих,
организационные и прочие расходы, которые
непосредственно связаны с предупредительными
мероприятиями.
74
ПРАКТИЧЕСКИЕ ЗАНЯТИЯ
Практическое занятие № 1. Основные фонды предприятия
Цель занятия: научить студентов определять структуру фондов,
применять формулы по расчету среднегодовой стоимости, коэффициентов
использования основных фондов, амортизационных отчислений, рассмотреть
варианты формирования фонда амортизации и влияние на деятельность
предприятия показателей фондоотдачи и фондоемкости.
Основные производственные фонды – средства труда, которые
вовлечены в производственный процесс, функционируют во многих
производственных циклах, сохраняя при этом свою натурально
вещественную форму, и переносят свою стоимость на стоимость готовой
продукции по частям.
Возмещение износа основных фондов осуществляется на основе
амортизации.
Амортизация – это процесс постоянного перенесения стоимости
основных фондов на производимую продукцию в целях накопления средств
для полного их восстановления (реновации).
Годовая величина амортизационных отчислений находится по
следующей формуле:
Аr =
Фб − Ф л
Т сл
(1.1)
где Фб, Фл – соответственно балансовая и ликвидационная (остаточная)
стоимость основных фондов, руб.; Тсл – срок службы основных фондов, лет.
Норма амортизации (На), определяется по формуле:
На =
Аr
× 100%
Фб
(1.2)
На =
Фб − Ф л
× 100%
Т сл × Фб
(1.3)
или
Показатели
эффективности
использования
основных
производственных фондов.
Фондоотдача – это выпуск продукции, приходящейся на 1 рубль
стоимости основных фондов. Для расчёта величины фондоотдачи Фотд
используется формула;
Фотд =
Т
Ф'
(1.4)
где Т — объём товарной, валовой или реализованной продукции, руб.;
Ф′ – среднегодовая стоимость основных производственных фондов
предприятия, руб.
75
Среднегодовая
определяется так:
стоимость
Ф ' = Фн . г . +
основных
производственных
Фввод × n1 Фвыб × n2
−
12
12
фондов
(1.5)
где Фн г. — стоимость основных производственных фондов предприятия
на начало года, руб.; Фввод, Фвыб – стоимость введённых (выбывших) в течение
года основных производственных фондов, руб.; n1(n2) – количество полных
месяцев с момента ввода (выбытия).
Фондоёмкость продукции – величина, обратная фондоотдаче. Она
показывает долю стоимости основных фондов, приходящуюся на каждый
рубль выпускаемой продукции:
Фем =
Ф'
Т
(1.6)
Показатели, характеризующие структуру основных фондов:
Коэффициент обновления – Коб:
К об =
Фввод
Фн.г .
(1.7)
Фвыб
Фн.г .
(1.8)
Коэффициент выбытия – Квыб:
К выб =
Коэффициент прироста – Кприроста:
К прироста =
Фввод − Фвыб
Фн.г .
(1.9)
Фондовооружённость труда, определяемая стоимостью основных
производственных фондов к числу рабочих (работников промышленнопроизводственного персонала) предприятия – Эф:
Эф =
Ф
Чр
(1.10)
где Чр – численность работников промышленно-производственного
персонала.
Коэффициент интенсивности использования машин и оборудования –
Ки:
Ки =
Пф
Пв
(1.11)
где Пф – фактическая производительность машин и оборудования; Пв –
возможная производительность машин и оборудования.
76
Задачи
Задача № 1
Стоимость оборудования 15 000 млн. руб. С 01.03.2000 г. введено в
эксплуатацию оборудование стоимостью 45,6 млн. руб., с 01.07.2000 г.
выбыло оборудование стоимостью 20,4 млн. руб. Размер выпуска продукции
800 тыс. тонн, цена за 1 тонну 30 тыс. руб. Мощность предприятия 1000 тыс.
тонн. Определить величину фондоотдачи оборудования и коэффициент
интенсивного использования оборудования.
Решение:
Фввод × n1 Фвыб × n2
45,6 ×10 20,4 × 6
−
= 15000 +
−
= 15027,8 млн. руб.
12
12
12
12
Т 800000 × 30000
= 1,59
Фотд = ' =
15027,8
Ф
П ф 800
=
0,8
Ки =
П в 1000
Ф ' = Фн.г. +
Ответ: Ф′ = 15027,8 млн. руб.; Фотд = 1,59; Ки = 0,8.
Задача № 2
Основные производственные фонды на начало года составили 2825 млн.
руб. Ввод и выбытие основных фондов в течение года были таковы:
Таблица 1
Месяц
Ввод (млн. руб.)
Выбытие (млн. руб.)
Февраль
40
6
Май
50
4
Август
70
8
Ноябрь
10
5
Определите коэффициенты выбытия, прироста и обновления основных
производственных фондов.
Решение:
Фввод 40 + 50 + 70 + 10 170
=
=
= 0,057
Фн . г .
2825 + 170 − 23 2792
Ф
23
К выб = выб =
0,007
Фн.г . 2972
Ф − Фвыб 170 − 23
К прироста = ввод
=
0,049
Фн.г .
2972
К об =
Ответ: Коб = 0,057; Квыб = 0,007; Кприроста = 0,049
Задача № 3
Стоимость станка 10,6 млн. руб., срок службы 8 лет, расходы по
монтажу 0,3 млн. руб., остаточная стоимость 0,5 млн. руб. Определите
годовую сумму амортизационных отчислений, норму амортизации и
рассчитайте сумму накопления амортизации по годам линейным методом.
77
Год
1
2
3
4
5
6
7
8
Таблица 2
Стоимость станка в
Амортизационные
Амортизационный
конце года (млн. руб.) отчисления (млн. руб.)
фонд (млн. руб.)
9,6
1,3
1,3
8,3
1,3
2,6
7
1,3
3,9
5,7
1,3
5,2
4,4
1,3
6,5
3,1
1,3
7,8
1,8
1,3
9,1
0,5
1,3
10,4
Решение:
Фб − Ф л (10,6 + 0,3) − 0,5
=
= 1,3 млн. руб.
Т сл
8
100
100
Н а = Ar ×
= 1.3 ×
= 11,9%
Ф,
10,9
Аr =
После реализации устаревшего оборудования по остаточной стоимости
на счету предприятия окажется сумма равная стоимость приобретения
оборудования:
10,4 + 0,5=10,9 млн. руб.
Ответ: Аr = 1,3 млн. руб.; На = 11,9%.
Задача № 4
Определите влияние использования производственных фондов
предприятия на объем выпускаемой продукции и изменение фондоотдачи.
Таблица 3
№
п/п
Показатели
Ед. изм. Прошедший Отчетный Темп Отклонения
(условно)
год
год
роста
(+;-)
Объем товарной
тыс. руб.
продукции.
Среднегодовая
стоимость
2 основных
тыс. руб.
производственны
х фондов
1
168 900
172 800
32 000
32 700
Задача № 5
Состав основных производственных фондов предприятия по группам, их
стоимости на начало года и изменения в течение года следующие (млн. руб.)
(табл. 4)
Объем товарной продукции за год составил 1236820 млн. руб.
Определите структуру основных производственных фондов на начало и
конец года, фондоотдачу.
78
Таблица 4
На
На
% содержание
№
Группы основных
Изменения
начало
конец на
п/п
фондов
в году (+/-)
на конец
года
года начало
1 Здания
341510
2 Сооружения
64610
3 Передаточные устройства 36920
+440
Рабочие машины и
4
378430
+23500
оборудование
Силовые машины и
5
18460
-530
оборудование
Измерительные приборы
6 и лабораторное
23998
-810
оборудование
7 Вычислительная техника 21229
+750
8 Транспортные средства
22152
-910
9 Прочие основные фонды 15691
-230
Всего
923000
Задача № 6
Стоимость станка 13,5 млн. руб., срок службы 6 лет, расходы по
монтажу 0,9 млн. руб., остаточная стоимость 0,5 млн. руб. Определите
годовую сумму амортизационных отчислений, норму амортизации и сумму
накопления амортизации линейным методом.
Задача № 7
В ткацком цеху установлено 16 станков, первоначальная стоимость
каждого – 140 тыс. руб. Срок службы станков – 15 лет. Затраты на установку
всех станков составили 1250 тыс. руб. Ликвидационная стоимость
изношенных станков – 1300 тыс. руб. Определить норму амортизации.
Задача №8
На основании данных табл. 5:
Таблица 5
№
п/п
Показатели
1 Основные производственные фонды
2 Поступило ОПФ в течение года
3 Выбыло ОПФ в течение года
Среднесписочная численность рабочих в наибольшую
4
смену
5 Объём выпущенной продукции за отчётный год
Определите:
79
Ед. изм.
Сумма ОПФ на
начало года
тыс. руб.
тыс. руб.
тыс. руб.
8090
456
780
чел.
58
тыс. руб.
56920
коэффициенты использования основных средств на конец года
(фондоотдачу, фондоёмкость, фондовооружённость);
коэффициент выбытия основных средств;
коэффициент обновления и прироста оборудования.
Задача № 9
На начало года на предприятии стоимость основных производственных
фондов составила 270 млн. руб. В начале апреля из-за изношенности выбыло
оборудования на сумму 8 млн. руб. В конце июля предприятие закупило и
установило несколько единиц оборудования на сумму 65 млн. руб.
Определить среднегодовую стоимость основных производственных фондов.
Задача № 10
На начало года предприятие имело основных производственных фондов
на суму 470 млн. руб. Был приобретён агрегат стоимостью 10 млн. руб. в
конце августа, а 1 октября было продано оборудования на сумму 186 млн.
руб. Определить среднегодовую стоимость основных производственных
фондов.
Задача № 11
Объем реализованной продукции на фабрике составил в 2002 г. 560 млн.
руб., среднегодовая стоимость основных производственных фондов – 376
млн. руб., в 2003 г. объем реализации увеличился на 17%, в среднегодовая
стоимость – на 6%.
Определите, как изменилась фондоотдача.
Задача № 12
Определите влияние использования производственных фондов
предприятия на объем выпускаемой продукции и изменение фондоотдачи
(табл. 6).
Таблица 6
Показатели
Ед. изм. Прошедший Отчетный
(условно)
год
год
1. Объем товарной
тыс. руб.
продукции.
2. Среднегодовая стоимость
основных производственных тыс. руб.
фондов
3. Фондоотдача на 1 р
производственных фондов
168 900
172 800
32 000
32 700
Темп
роста
Отклонения
(+;-)
Задача № 13
На производство цемента в объеме 780 млн. руб. в 2001 г. среднегодовая
стоимость производственных фондов составила 470 млн. руб.; в 2002 г.
объем производства составил 870 млн. руб., а среднегодовая стоимость – 520
млн. руб. Определить, как изменился показатель фондоемкости продукции.
80
Практическое занятие № 2. Оборотные фонды предприятия
Цель занятия: рассмотреть структуру оборотных фондов, процесс
формирования производственных запасов на предприятии, а так же
коэффициенты характеризующие использование оборотных фондов
предприятием.
Оборотные фонды – это предметы труда, которые целиком
потребляются в однократном процессе производства, изменяют свою форму,
полностью переносят свою стоимость на готовый продукт и стоимость
которых возмещается после каждого производственного цикла.
Нормирование оборотных средств "Ноб.с" представляет собой
следующую сумму:
Н об .с = Н пр . з + Н н.п. + Н г .п.
(2.1)
где Нпр.з – нормирование производственных запасов; Нн.п –
нормирование незавершённого производства; Нг.п - нормирование запасов
готовой продукции.
Н пр . з = Зтек + Зтех. + Зстр + Зтр + Зс
где Зтек – текущий запас; Зтех – технологический запас; Зстр
запас; Зтр – транспортный; Зс – сезонный запас.
(2.2)
– страховой
Зтек = М × α
(2.3)
где М – среднедневная потребность в материалах; α – число дней между
поставками.
Зтех = М × t n
(2.4)
где tn – количество дней необходимых для подготовки материалов к
запуску в производство.
Зстр = ∆t × М = 1 × Зтек
2
(2.5)
где ∆t – среднее отклонение в днях от среднего периода времени между
двумя поставками.
Сезонный запас создается в отраслях с сезонным характером:
Зс = t c × M
(2.6)
где t с – продолжительность сезона.
Зтр = M × t тр
(2.7)
где tтр – время на транспортировку.
Норматив оборотных средств для незавершенного производства:
Н н .п . = В × Т ц × К н
(2.8)
где В – объем среднедневного выпуска продукции по производственной
себестоимости; Тц – общая длительность производственного цикла; Кн –
коэффициент нарастания затрат, отношение среднего уровня расходов в
незавершенном производстве к производственной себестоимости готовой
продукции.
Норматив на готовую продукцию, находящуюся на складе, определяется
по формуле:
81
Н г . п. =
ТП с
×t
Д
(2.9)
где ТПс – плановый объем товарной продукции по производственной
себестоимости; Д – длительность планируемого периода (в днях); t –
установленный норматив пребывания готовой продукции на складе и на
оформление платежных документов (в днях).
Материалоёмкость оценивает фактический расход материальных
ресурсов на единицу продукции в натуральном или стоимостном её
измерении.
m=
Q
N
(2.10)
где Q – количество материальных ресурсов; N – количество годных
единиц продукции.
Коэффициент использования сырья:
К и .с . =
Чв
Нр
(2.11)
где Чв – чистый вес готового изделия; Нр – норма расхода материала на
единицу изделия.
Коэффициент оборачиваемости (число оборотов в течение года):
no =
Pn
Fc
(2.12)
где nо – число оборотов оборотных средств за расчетный период (в год);
Рn – выручка от реализации продукции и внереализационных операций в
рыночных ценах; Fc – средняя стоимость всех оборотных средств.
Длительность одного оборота в днях:
Т об =
Т n Т n × Fc
=
no
Pn
где Тn – количество календарных дней в рассматриваемом периоде.
82
(2.13)
Задачи
Задача № 1
Чистый вес детали изделия, изготовленной из стали, 96 кг, норма
расхода стали 108 кг. Выпускается 302400 изделий в год. Поставка стали
осуществляется один раз в квартал (91 день). Транспортный запас – два дня,
технологическая подготовка занимает 3 дня; всего 252 рабочих дня.
Определите величину производственного запаса, и коэффициент
использования стали.
Решение:
Объем производства в день:
302400
= 1200 шт.
252
М = 1200 × 108 = 129600 кг / д
Зтек = М × α = 129600 × 91 = 11793600 кг
Зстр = 1 × Зтек = 11793600 / 2 = 5896800 кг
2
Зтех = М × t n = 129600 × 3 = 388800 кг
Зтр = M × t тр = 129600 × 2 = 259200 кг
Н пр . з = Зтек + Зтех. + Зстр + Зтр = 11793600 + 5896800 + 388800 + 259200 = 18338400 кг
К исп =
96
= 0,88
108
Ответ: Нпр.з= 18338400 кг; Кисп = 0,88.
Задача № 2
Чистый вес выпускаемого предприятием изделия 38 кг, годовой выпуск
его 300 тыс. единиц. Действующий коэффициент использования материала
0,8, предприятие планирует повысить его до 0,82. Цена 1 кг материала – 4,2
тыс. руб.
Определите действующую и плановую норму расхода материала;
годовую экономию от повышения коэффициента использования материала в
натуральном и стоимостном измерении.
Решение:
38
= 47,5 кг
0,8
= 300000 × 47,5 × 0,042 = 598500 тыс. руб.
Нр =
Затр
'
38
= 46.3 кг
0,82
= 300000 × 46,3 × 0,042 = 583380 тыс. руб.
Нр =
З ' атр
Экономия в затратах на материал составила 15120 тыс. руб. (2,5%).
Ответ: Действующая норма расхода = 598500 тыс. руб.; плановая норма
расхода = 583380 тыс. руб.; годовая экономия = 15120 тыс. руб. (2,5%).
Задача № 3
Рассчитайте величину производственного запаса материала для
обеспечения производственной программы предприятия в объеме 4000
83
изделий в год и чистый вес единицы продукции, если известно, что
коэффициент использования материала 0,88, поставки материала
производятся один раз в квартал (91 день); среднее отклонение в днях между
поставками составляет 3 дня; годовая потребность в материале 360 тонн;
рабочих дней в году 250.
Решение:
360 т
= 0,09 т = 90 кг
4000
Ч в = 90 × 0,88 = 79,2 кг
Нр =
Объем производства в день:
16 шт.× 90 =1440 кг;
Зтек = 1440 × 91 = 131040 кг
Зстр = 1440 × 3 = 4320 кг
Зпр = 131040 + 4320 = 135360 кг
Ответ: Зтех = 131040 кг; Зстр = 4320кг; Зпр = 135360 кг.
Задача № 4
Чистый вес выпускаемого предприятием изделия составляет 48 кг.
Годовой выпуск – 5000 изделий. Действующий коэффициент использования
металла 0,75.В результате совершенствования технологического процесса
предприятие планирует повысить коэффициент использования материала до
0,76. Годовой выпуск продукции изделия увеличится на 5%. Цена материала
30 руб. за 1 кг.
Определить:
а) действующую и планируемую норму расхода материала на изделие;
б) годовую экономию от запланированного снижения материала в
натуральном и стоимостном измерении.
Задача № 5
Мощность трактора, выпускающегося в прошлом году, составляла 110 л.
с, а его вес – 3,56 т. В текущем году начат выпуск тракторов мощностью 150
л. с, вес по сравнению с базовой моделью увеличился на 10%.
Определите относительную материалоемкость старой и новой моделей.
Задача № 6
Чистый вес станка 350 кг, величина фактических отходов при обработке
заготовки — 92 кг. В результате совершенствования технологии
изготовления деталей станка отходы планируется сократить на 10%.
Определите коэффициент использования металла и долю отходов до и
после изменения технологий.
Задача № 7
Квартальная программа выпуска изделий – 1000 шт., чистый вес одного
изделия – 8 кг; потери при ковке – 2,9 кг; отходы в стружку – 11,7 кг;
84
шлифовальная пыль – 0,4 кг. Периодичность поставки чугуна – 20 дней.
Среднее отклонение в днях между поставками 2 дня.
Определите:
а)
норму расхода и коэффициент использования металла на
изготовление одного изделия;
б)
величину текущего и страхового запаса металла.
Задача № 8
Рассчитайте величину производственного запаса металла для
обеспечения производственной программы предприятия – 10000 единиц
продукции в год и чистый вес единицы продукции при плановом
коэффициенте использования металла 0,72. В январе поставка продукции
произошла на 3 дня позже планируемого, в феврале задержки не было, в
марте отставание от графика составило 6 дней. Поставки металла
осуществляются один раз в месяц, годовая потребность металла 800 т. Режим
работы непрерывный.
Задача № 9
Произвести расчет оборачиваемости оборотных средств за год, сделать
выводы о работе предприятия (табл. 7).
Таблица 7
№
Ед. изм. Предшествующий
Показатели
Отчетный год
п/п
(условно)
год
Выручка от реализации товарной
1
тыс. руб. 50 860
52 700
продукции
Среднегодовая стоимость всех
2
тыс. руб. 10 800
10 560
оборотных средств
3 Коэффициент оборачиваемости
Задача № 10
На 50 изделий «А» расходуется 5 т. стали по цене 5160 руб./т., ткани
1250 м2 по цене 22 руб./м2, проволока для оплетки 500 пог. м – по цене 170
руб./пог. м, клеящий состав – 700 кг по цене - 65 руб./кг.
Определить материалоемкость.
Задача № 11
Рассчитайте величину производственного запаса материала для
обеспечения производственной программы предприятия в объеме 4000
изделий в год, поставки материала производятся один раз в квартал,
технологический запас 5 дней; среднее отклонение между поставками 4 дня;
годовая потребность в материале 360 т.
85
Практическое занятие № 3. Оплата труда
Цель занятия: рассмотреть коэффициенты использования рабочей силы
на предприятии, а также варианты расчета заработной платы.
Плановая численность основных работников на предприятии
определяется по следующей формуле:
Чо =
ВП
Фэф
(3.1)
- эффективный
где ВП – объем валовой продукции в нормо-часах, Фэф
фонд основного рабочего времени в плановом периоде.
Производительность труда определяется количеством продукции,
производимой в единицу рабочего времени.
Трудоёмкость продукции выражает, затраты рабочего времени на
производство единицы продукции.
b=
V
T
, t=
T
V
(3.2)
где b – производительность труда; t – трудоёмкость изготовления
продукции; V – объём произведённой продукции, руб.; T – затраты живого
труда на производство продукции, чел.-час, чел.-день.
Выработка одного рабочего:
Вр =
Q
Чо
(3.3)
где Q – количество продукции, ед. продукции; Чо – численность
основного персонала, чел.
Структура кадров характеризуется соотношением различных
категорий работников в их общей численности.
dPi =
Pi
P
(3.4)
где Рi – среднесписочная численность работников i-й категории, чел;
Р – общая среднесписочная численность персонала предприятия.
Коэффициент численности основных рабочих Кор определяется по
формуле:
K ор = 1−
Pв. р
Pр
(3.5)
где Рв р – среднесписочная численность вспомогательных рабочих на
предприятии, чел.; Рр – среднесписочная численность всех рабочих на
предприятии, в цехах, на участке, чел.
Расчет заработной платы
При простой сдельной оплате труда, труд оплачивается по расценкам
за единицу произведённой продукции. Индивидуальная сдельная расценка –
Расц:
Расц =
или
86
Тс
Н выр
(3.6)
 руб. 
Расц = Т с × Н вр 

 ед.прод. 
(3.7)
где Тс – часовая тарифная ставка, устанавливаемая в соответствии с
разрядом выполняемой работы, руб.; Нвыр – часовая норма выработки данной
продукции; Нвр – норма времени на единицу продукции (работы).
Заработок рабочего при простой сдельной оплате труда
определяется:
ЗП ед = Расц × Q
[ руб.]
(3.8)
где Q – количество произведённой продукции за расчётный период.
Косвенно-сдельная система оплаты труда.
Косвенная сдельная расценка - Расцкос:
Расц кос =
Т с.об
Н выр.ч × N об
(3.9)
где Тс.об – тарифная часовая ставка обслуживаемого рабочего,
оплачиваемого по косвенной сдельной системе, руб.; Нвыр.ч. – часовая норма
выработки (производительность) одного обслуживаемого рабочего (объекта,
агрегата) в единицах продукции; Nоб – количество обслуживаемых рабочих
(объектов, агрегатов) – норма обслуживания.
Общий заработок при косвенно-сдельной системе - Зобщ:
ЗП общ =
Т с.всп × Аф.всп × Вн
100
[ руб.]
(3.10)
где Тс.всп – часовая тарифная ставка вспомогательного рабочего, руб.;
Аф.всп – количество человеко-часов фактически отработанное данным
вспомогательным рабочим; Вн – средневзвешенный процент выполнения
норм выработки всеми обслуживаемыми данным работником объектами
(агрегатами).
При сдельно-прогрессивной системе труд рабочего оплачивается по
прямым сдельным расценкам в пределах выполнения норм, а при выработке
сверх норм – по повышенным расценкам.
ЗП с.п. = ЗП с. р. +
ЗП с. р × ( Вн − Вн.баз ) × q пр
Вн
[ руб.]
(3.11)
или
'
ЗП с.п. = ЗП с. р. + ЗП т.п. × (qпр
− 1)
[ руб.]
(3.12)
где ЗПс.р – сумма основного заработка рабочего, исчисленная по прямым
сдельным расценкам, руб.; Вн – выполнение норм выработки рабочим, %;
Вн.баз – базовый уровень норм выработки, сверх которого применяется оплата
по повышенным расценкам, %; qпр – коэффициент в долях единицы,
показывающий, насколько увеличивается сдельная расценка за выработку
продукции сверх установленной нормы; ЗПт.п – сумма сдельного заработка
рабочего-сдельщика, начисленная по прямым сдельным расценкам за часть
работы (продукции), оплачиваемую по прогрессивной системе оплаты, руб.;
q'пр – коэффициент, показывающий отношение прогрессивной сдельной
87
расценки (по шкале к основной сдельной расценке этот коэффициент больше
единицы).
Заработок рабочего при простой повременной системе ЗПп.п
рассчитывается по следующей формуле:
ЗП п.п. = Т с + t раб
[ руб .]
(3.13)
где Тс – часовая (дневная) тарифная ставка рабочего данного разряда;
tраб – отработанное время в данном периоде.
При помесячной оплате труда повременной заработок рабочего
определяется по формуле:
ЗП п.п. =
ЗП мес '
× t раб
t раб
[ руб.]
(3.14)
где ЗПмес – месячная повременная заработная плата работника, руб.;
tраб – число рабочих часов по графику в данном месяце; t′раб – количество
часов, фактически отработанных рабочим.
88
Задачи
Задача № 1
Прядильный цех – 294 машины, обслуживает 49 наладчиков, тарифная
часовая ставка основных рабочих-прядильщиков равна 42 руб. Часовая
тарифная ставка наладчика составляет 36 руб. Прядильщик обслуживает 4
машины. Продолжительность рабочего дня 8 часов, всего в месяце было 22
рабочих дня. В час машина вырабатывает 50 кг пряжи. Определить косвенносдельную расценку наладчика, индивидуальную расценку прядильщика и их
общие заработные платы за месяц.
Решение:
42
= 0,21 руб. / кг
50 × 4
= 0,21 × 8800 × 4 = 7392 руб .
Расц п =
ЗП общ
36
36
=
= 0,12 руб.
294
300
× 50
49
= 0,12 × 8800 × 6 = 6336 руб .
Расц кос .н =
ЗП общ
Ответ: Расцп = 0,21 руб./кг; Расцкос.н. = 0,12 руб.; ЗПобщ.п. = 7392 руб.;
ЗПобщ.нал. = 6336 руб.
Задача № 2
Объём производства 225000 шт. покрышек в год. Для производства
одной покрышки необходимо затратить 25 минут, предприятие работает в
одну смену (8 часов) 250 рабочих дней. В следующем году планируется
увеличить объём выпуска продукции на 5%, а производительность труда на
7%. Количество рабочих дней в году – 250. Определить плановую
численность промышленно-производственного персонала в следующем году.
Решение:
225000
= 45 чел.
19 × 250
1,05
Количество рабочих в ' =
× 45 = 0,99 × 45 = 44 чел.
1,07
Количество рабочих =
Ответ: плановое количество работников в следующее году 44 чел.
Задача № 3
Определите часовую тарифную ставку рабочего и общую заработную
плату, если индивидуальная сдельная расценка за единицу продукции 23
руб., а на изготовление единицы продукции он затрачивает 15 минут. Всего в
месяц рабочий производит 800 шт.
Задача № 4
Прядильный цех – 64 машин обслуживает 8 наладчиков, тарифная
часовая ставка равна 42 руб. В час машина вырабатывает 50 кг пряжи. В
месяц 1 машина вырабатывает 10000 м. Определить косвенно-сдельную
расценку и общий заработок рабочего.
89
Задача № 5
Определить тарифные ставки и общий фонд заработной платы, и
бригадную расценку (табл. 8).
Таблица 8
Сумма з/пл.
Кол-во
Тарифный
Сумма з/пл. по
Разряды
рабочего 1
человек в
коэфф.
разрядам
разряда
бригаде
1
1
1000
2
1,3
4
3
1,7
2
4
1,9
4
5
2,2
3
Задача № 6
Определить удельный вес каждой профессии работников.
Таблица 9
Профессии
Наладчик
Фрезеровщик
Шлифовщик
Кузнец
Кол-во работников
25
13
28
45
Задача № 7
Определите сдельную расценку за 1 м2 раскрашиваемой ткани и
месячную заработную плату рабочего, если за смену (8 часов) было сделано
24 м2 , тарифная часовая ставка – 40руб./час. В месяц работник произвел 600
м2.
Задача № 8
Определите часовую тарифную ставку рабочего и его месячную
заработную плату, если индивидуальная сдельная расценка за единицу
продукции 36 руб., а на изготовление единицы продукции он затрачивает 4,5
часа, в месяц рабочий произвел 50 шт.
Задача № 9
В авторемонтной мастерской один вспомогательный рабочий
обслуживает трех основных механиков-ремонтников, каждый из которых в
течение часа ремонтирует 3 машины. Тарифная ставка механика-ремонтника
27 руб./час. В месяц ремонтируется 1200 машин. Определить косвенносдельную расценку и общий заработок рабочего.
Задача № 10
Прядильный цех – 36 машин обслуживает 9 наладчиков, тарифная
часовая ставка равна 44 руб. В час машина вырабатывает 70 кг пряжи.
Определить косвенно-сдельную расценку.
90
Задача № 11
В мастерской часовая тарифная ставка вспомогательного рабочего,
переведенного на косвенно-сдельную оплату равна 24,0 руб.
В течение месяца он проработал 25 дней. Планировалось выпустить
14000 шт., фактически выпустили 12600 шт. Определить общий заработок
рабочего за месяц.
Задача № 12
В мастерской часовая тарифная ставка вспомогательного рабочего,
переведенного на косвенно-сдельную оплату равна 40 руб.
В течение месяца он проработал 21 день Средневзвешенный процент
выполнения норм выработки за месяц 81%. Определить общий заработок
рабочего за месяц.
Задача № 13
Часовая тарифная ставка наладчика, переведенного на косвенносдельную оплату равна 30 руб. фактически он проработал 25 дней. Смена 8
часов. Средневзвешенный процент выполнения норм выработки за месяц
составил 75%.
Определите заработок наладчика.
Задача № 14
Определите численность основного персонала предприятия, если
планируется произвести в год 56000 шт. покрышек. Для производства одной
покрышки необходимо затратить 25 мин. Работать планируется в одну смену
(8 часов) 252 рабочих дня.
Задача № 15
В течение месяца 15 рабочих произвели 6500 тон огурцов. Определить
выработку рабочего и производительность предприятия в час, если объем
валовой продукции произведенной в день на предприятии составил 520 тонн
(предприятие работает в 1 смену (8 часов)).
Задача № 16
В 2004 г. предприятие выпустило продукцию на сумму 780 млн. руб.,
среднесписочная численность работников предприятия – 250 человек.
Средняя заработная плата одного работника в месяц 6 тыс. руб. Определить
производительность стоимостным методом.
Задача № 17
Объем реализованной продукции на фабрике составил в 2003 г. 1080
млн. шт. ручек, стоимость одной ручки 1,25 руб., среднесписочная
численность рабочих составляет 586 человек, средняя месячная заработная
плата на предприятии 3500 руб. Определить производительность
предприятия стоимостным методом.
91
Практическое занятие № 4. Производственная мощность предприятия
Цель занятия: научить студентов рассчитывать мощность предприятия
и рассмотреть ее роль в его деятельности.
Производственная мощность предприятия это максимально
возможный годовой выпуск продукции в плановом ассортименте,
рассчитанный с учетом полного использования производственного
оборудования и площадей при условии эффективного режима работы,
передовой технологии и рациональной организации производства и труда.
М пр = П пр .об × n × Ф
(4.1)
где Мпр – мощность; Ппр.об – производительность оборудования в
единицу времени, выраженная в натуральном исчислении; n – количество
единиц оборудования; Ф – эффективный (действительный) фонд времени
работы оборудования в год.
Фонд режимный (номинальный) определяется как произведение
количества рабочих дней в расчетном периоде, умноженном на количество
расчетных часов в сутки (принятый график работы), из которого следует
вычесть количество нерабочих часов (с учетом сокращения рабочего времени
в предпраздничные и праздничные дни).
Фонд эффективный (действительный) – рассчитывается как
максимально возможный при заданном режиме сменности за вычетом
времени, выполнения ремонтных работ и операций, а также межремонтного
обслуживания. Это время устанавливается в процентах к режимному фонду
(процент может изменяться от 2 до 12).
Среднегодовая производственная мощность (Мср):
М ср
М вв × n М выб × n '
= Мн +
−
12
12
(4.2)
М выб × n '
12
М вв × n
12
где
– среднегодовая по вводу мощностей;
–
среднегодовая по выбытию; n – количество месяцев функционирования с
начала ввода мощностей и до конца года; n' – количество месяцев
нефункционирования (простоя) производственных мощностей до конца года.
Для оценки соответствия пропускной способности ведущих цехов и
остальных
звеньев
предприятия
рассчитывают
коэффициент
сопряженности мощностей (Ксоп):
К соп =
М1
М 1 × Рy
(4.3)
где М1 М2 – мощности цехов (участков, групп оборудования), между
которыми определяется коэффициент сопряженности; Ру – удельный расход
продукции второго цеха для производства продукции первого цеха.
Если Ксоп < 1, то мощность первого цеха недостаточна для производства
второго цеха.
92
Коэффициент
использования
определяется следующим образом:
К исп =
производственной
мощности
Кф
К пл
(4.4)
где Кпл – планируемый выпуск продукции на единицу мощности:
К пл =
Qпл
М пл
(4.5)
где Мпл – производственная мощность (плановая) предприятия;
плановый выпуск продукции.
Кф – фактический выпуск продукции на единицу мощности:
Кф =
Qф
Мф
(4.6)
где Мф – производственная мощность (фактическая) предприятия;
Qф – фактический выпуск продукции.
Коэффициент сменности работающего оборудования средняя
арифметическая взвешенная всего работавшего оборудования за один день. В
числителе коэффициента сменности – произведение числа станков и числа
смен (станко-смены), а в знаменателе – число работавших в течение дня
станков (станко-дни).
Коэффициент сменности установленного оборудования коэффициент
сменности работающего оборудования умножается на долю работавшего
оборудования в установленном периоде.
Коэффициент сменности оборудования при определении мощности
вновь создаваемого предприятия рассчитывают исходя из машиноёмкости
единицы продукции, средней численности установленного оборудования и
годового фонда времени работы единицы оборудования в одну смену:
Кс =
Т × Фг
Q
(4.7)
где Т – общая трудоемкость изготовления продукции; Фг – годовой фонд
времени работы оборудования; Q – средняя численность установленного
оборудования.
93
Задачи
Задача № 1
В цехе машиностроительного завода 3 группы станков (табл. 10).
Таблица 10
Норма времени на
№
Количество,
Станок
обработку единицы
п/п
шт.
изделия, час.
1
шлифовальные
5
0,5
2
строгальные
11
11
3
револьверные
12
1,5
Определите производственную мощность цеха, если известно, что
режим работы 2-х-сменный, продолжительность смены – 8 часов,
регламентированные простои оборудования составляют 7% от режимного
фонда времени, число рабочих дней в году – 255.
Решение:
М пр = П пр .об . × n × Ф
Первоначально необходимо определить объем производства каждого станка
в час:
Шлифовальный = 1/0,5 = 2 дет. в час
Строгальный = 1/1,1 = 0,9 дет. в час
Револьверный = 1/1,5 = 0,66 дет. в час
Эффективный фонд времени составит:
Ф = 8 × 2 × 255 × (100% − 7%) = 3794,4 руб.
М пр = (5 × 2 + 11× 0,9 + 12 × 0,66) × 3794,4 = 102828 дет. в год
Ответ: Мпр = 102828 дет. в год
Задача № 2
Ткацкая фабрика работает в 2 смены, количество ткацких станков 500. С
1. 04. установлено 60 станков, с 1. 09. выбыл 51 станок. Число рабочих дней в
году 260, плановый процент простоев на ремонт станка 5%,
производительность одного станка 4 м в час, план выпуска продукции 8500
тыс. м. Рассчитайте производственную мощность по выпуску продукции и
коэффициент ее использования.
Решение:
Среднегодовое количество станков, работающих на предприятии,
составило:
Q ' = 500 +
60 × 9 51× 4
−
= 500 + 45 − 17 = 528 шт.
12
12
Фреж = 2 × 8 × 260× 95% = 3952 час
М = 528 × 3952 × 4 = 8346624
8346624
К исп =
= 0,9 час
8500000
м в год
Ответ: М = 8346624 метров в год; Кисп =0,9.
94
Задача № 3
Цех № 1 выпускает детали. Его мощность – 1200 деталей в месяц. Для
выпуска деталей используют литье, которое выпускает цех № 2. Мощность
литейного цеха – 1600 т. литья. Удельный расход литья на одну деталь –
1,4 т. Определить коэффициент сопряженности.
Решение:
К соп =
1600
×1,4 = 0,95
1200
Ответ: Ксоп = 0,95.
Задача № 4
В течение дня в цехе работало 50 станков, из них в одну смену – 10; в
две смены – 22; В три смены – 18. Установлено 60 станков. Определить
коэффициент сменности работающего и установленного оборудования.
Коэффициент сменности (Ксм) равен:
1× 10 + 2 × 22 + 3 × 18 108
=
= 2,16
50
50
Это означает, что каждый станок в среднем работал примерно в 2,16
смены.
Доля работавших станков в общей численности установленных
50
= 0,833
составит: 60
Следовательно, коэффициент сменности установленного оборудования
равен: 2,16 × 0,833 = 1,8, что соответствует расчету: = 1,8.
Ответ: Ксм = 2,16; Ксм.у = 1,8.
Задача № 5
Планируется создать предприятие со следующими показателями: общая
трудоемкость изготовления продукции – 0,7 станко-часов, годовой фонд
времени работы оборудования (действительный) – 2008 ч, средняя
численность установленного оборудования – 470 единиц. Рассчитать
коэффициент сменности в котором будет работать предприятие.
К см =
0,7
× 2008 = 3
470
Ответ: Ксм = 3.
Задача № 6
Рассчитайте производственную мощность по выпуску продукции и
коэффициент ее использования при следующих условиях: количество
однотипных станков в цехе 100 ед., с 1.11 установлено 30 ед., с 1.05. выбыло
6 ед., число рабочих дней в году 258, режим работы двухсменный,
продолжительность смены 8 часов, регламентированные простои
оборудования составляют 6%, производительность одного станка – 5 деталей
в час, план выпуска продукции за год 1700000 деталей.
95
Задача № 7
В цехе машиностроительного завода установлено 100 станков. Режим
работы цеха двухсменный. Продолжительность смены 8 часов. Годовой
объем выпуска продукции 280 тыс. изделий, производственная мощность
цеха – 310 тыс. изделий.
Определите коэффициент интенсивной загрузки.
Задача №8
В течение дня в цехе № 1 работает 150 станков, из них в одну смену –
83, в две смены – 44, в три смены – 23. Установлено 185 станков. Определить
коэффициент сменности работающего и установленного оборудования.
96
Практическое занятие № 5. Издержки производства и себестоимость
продукции
Цель занятия: научить студентов проводить классификацию издержек
производства. Рассчитывать прибыль и рентабельность предприятия, и
критический объем выпуска продукции.
Издержки – это денежное выражение затрат производственных факторов, необходимых для осуществления предприятием своей производственной
и коммерческой деятельности. Постоянные издержки это издержки, сумма
которых не зависит непосредственно от величины и структуры производства
и реализации продукции. Переменные издержки, это издержки, общая
величина которых непосредственно зависит от объёма производства и
реализации продукции, а также от структуры издержек при производстве и
реализации нескольких видов продукции. Сумма постоянных и переменных
издержек составляет валовые, или общие, издержки предприятия.
Себестоимость продукции (работ, услуг) представляет собой
стоимостную оценку используемых в процессе производства продукции
(работ, услуг) природных ресурсов, сырья, материалов, топлива, энергии,
основных фондов, трудовых ресурсов, а также других затрат на её
производство и реализацию.
Для оценки уровня эффективности работы предприятия, получаемый
результат (валовой доход, прибыль) сопоставляется с затратами или
используемыми ресурсами. Соизмерение прибыли с затратами означает
рентабельность или, точнее, норму рентабельности.
Норму рентабельности предприятия можно рассчитать по следующей
формуле:
П1 =
О × (Ц − С )
× 100
Фо + Фоб
(5.1)
где Ц – цена единицы продукции; С – себестоимость продукции;
О – объём продукции; Фо – стоимость основных производственных фондов;
Фоб – объём оборотных средств.
97
Задачи
Задача № 1
В отчетном году себестоимость товарной продукции составила 450,2
млн. руб., что определило затраты на 1 руб. товарной продукции – 0,89 руб.
В плановом году затраты на один руб. товарной продукции установлены
в 0,85 руб. Объем производства продукции будет увеличен на 8%.
Определите себестоимость товарной продукции планового года.
Решение:
450,2 млн. руб.
= 505,84 млн.шт.
0,89 руб.
1. Объем производства:
2. Объем производства в плановом году: 505,84 млн.шт. × 1,08 = 546,37 млн.
шт.
3. Себестоимость товарной продукции планового года: 546,37 млн. шт. × 0,85
= 464,41 млн. руб.
Ответ: 464,41 млн. руб.
Задача № 2
Сравните рентабельность продукции за три квартала на основе
следующих данных (табл. 11):
Таблица 11
Показатель
Единица Квартал года
измерения
2
3
Количество выпущенных
шт.
1500
2000 1800
Цена одного изделия
руб.
60
60
60
Себестоимость одного
руб.
50
52
48
изделия
Решение:
Расчет рентабельности в первом квартале:
1. Выручка: 1500 × 60 = 90 тыс. руб.
2. Общая себестоимость: 1500 × 50 =75 тыс. руб.
3. Прибыль: 90 - 75 = 15 тыс. руб.
15
× 100 = 20%
4. Рентабельность: 75
Расчет рентабельности во втором квартале:
1. Выручка: 2000 × 60 = 120 тыс. руб.
2. Общая себестоимость: 2000 × 52 = 104 тыс. руб.
16
× 100 = 15%
3. Рентабельность: 104
Расчет рентабельности в третьем квартале:
1. Выручка: 1800 × 60 = 107 тыс. руб.
2. Общая себестоимость: 1800 × 48 = 86,4 тыс. руб.
21,6
× 100 = 25%
86
,
4
3. Рентабельность:
98
Ответ: наибольшей рентабельности (0,25) предприятие достигло в
третьем квартале благодаря снижению цены на 4%.
Задача № 3
В первом квартале года предприятие реализовало 5000 изделий, что
покрыло расходы предприятия, но не дало прибыли. Общие постоянные
расходы составили 70000 руб., удельные переменные – 60 руб. Во втором
квартале было изготовлено и реализовано 6000 изделий.
Определить размер прибыли и рентабельность.
Задача № 4:
Изделия
Выпуск товарной
продукции, шт.
Себестоимость единицы
продукции, тыс. руб.
Таблица 12
Цена единицы
продукции, тыс.
руб.
по плану факт. по плану
факт.
А
7500
9000
30
28
35
Б
5000
5000
48
46
55
В
4000
4000
75
74
82
На основе данных (табл. 12) определить затраты на 1 руб. товарной
продукции по плану и фактически и изменение фактических затрат по
сравнению с планом в денежном выражении и в процентах, исходя из
существующих данных.
Задача № 5
Предприятие производит продукцию одного наименования, цена
изделия – 18000 тыс. руб., средние переменные расходы составляют 9000
тыс. руб.; общие постоянные расходы – 150000 тыс. руб.
Определите критический объем выпуска и реализации продукции в
денежном и натуральном выражении.
Задача № 6
Плановые показатели по изделиям А и Б составляли (табл. 13).
Таблица 13
А
Б
Выпуск и реализация, шт.
950
600
Цена одного изделия, тыс. руб.
125
65
Себестоимость изделия, тыс. руб.
100
50
В течение года предприятие добилось снижения себестоимости
продукции по изделию А – на 5%, по изделию Б – на 2,5%. Оптовая цена
осталась без изменения.
Определите, как изменилась фактическая рентабельность продукции, по
сравнению с плановой, по всем изделиям.
99
Задача № 7
В истекшем году предприятие по выручке моющих средств выручило за
свою продукцию 1325 млн. руб., затраты на производство и реализацию
составили 900 млн. руб. Определить рентабельность.
Задача № 8
Валовая прибыль комбината хлебобулочных изделий в 2002 г. составила
978 млн. руб., а полные издержки – 2654 млн. руб. В 2003 г. прибыль
увеличилась на 18%, а издержки – на 12%.
Определить рентабельность.
100
Требования к бизнес-плану
Составляющие бизнес-плана
При составлении бизнес-плана можно и нужно руководствоваться
требованиями, предъявляемыми Федеральным Фондом поддержки малого
предпринимательства и UNIDO (United Nations Industrial Development
Organization) – международной организацией, которая занимается
выработкой стратегии экономического развития стран с переходной
экономикой. Согласно этим требованиям ваш бизнес-план должен состоять
из следующих разделов:
Резюме (обзорный раздел). Это, несомненно, самая главная часть
вашего бизнес-плана. Может и должен восприниматься как отдельный
документ. Поэтому именно в резюме должно содержаться грамотное и
достаточно полное описание самой сути проекта. Этот раздел читается всеми
инвесторами, так как именно в нем содержатся ответы на все интересующие
их вопросы: каков должен быть размер кредита, какие возможны сроки
погашения, какие гарантии предоставляются. Дальнейшие пункты бизнесплана являются, по сути, развернутыми пояснениями и доказательствами
фактов, изложенных в резюме. Если вы хотите привлечь к проекту
иностранных инвесторов, то резюме должно быть составлено также и на
английском языке.
Описание предприятия. В этом пункте бизнес-плана необходимо
охарактеризовать предприятие. Для этого описываются цели и задачи
проекта, финансово-экономические характеристики деятельности, система
управления и кадровый состав, отрасль экономики и место в ней вашего
предприятия, возможности рекламы, используемые ноу-хау, партнерские
связи, география проекта. Здесь же указывается организационно-правовая
форма, значимость каждого из совладельцев в создании и управлении
предприятием.
Описание продукции (услуг). При составлении бизнес-плана
описывается наиподробнейшим образом производимая предприятием
продукция или услуга. Необходимо указать наименование продукции, ее
отличительные черты, конкурентоспособность, степень готовности к
производству, безопасность, экологичность, а также концепцию
ценообразования. При этом также немаловажно описать, каким образом
будет осуществляться контроль качества продукции, возможности по
обслуживанию (как гарантийному, так и послегарантийному), а также
необходимые для работы лицензионные соглашения и патенты.
Для наглядности также прилагается экземпляр вашей продукции (либо
же фотографии, чертежи).
Анализ рынка. В этом разделе бизнес-плана описываются проведенные
маркетинговые исследования, касающиеся рынка сбыта продукции вашего
предприятия. При составлении бизнес-плана необходимо убедить
потенциального инвестора в том, что ваша продукция имеет отличительные
от конкурентной свойства, гарантирующие наличие рынка сбыта. Поэтому
стоит описать стратегию привлечения покупателей (рекламные акции,
101
раздача образцов продукции), ценовую политику, учитывая динамику цен за
предыдущие пять лет, и предполагаемый отсюда объем сбыта. Кроме того,
обязательно должны рассматриваться основные конкуренты, преимущества и
недостатки их продукции (услуг), процентное соотношение присутствия на
рынке, возможные ответные действия на выход вашего предприятия.
Производственный план. При составлении этой части бизнес-плана вы
должны наиподробнейшим образом описать путь, которым предприятие
будет производить и реализовывать продукцию. Необходимо учесть все
производственные затраты и вписать процесс производства в календарный
план. В число затрат входят уровень расходов на содержание персонала плюс
расходы на само производство (сырье, покупка или аренда помещений,
оборудования, коммунальные услуги и т.д.). А также здесь необходимо
рассмотреть доступность всего этого: учитывается как возможность
своевременных поставок сырья, оборудования и прочего для готовности
запуска и дальнейшей работы предприятия, так и наличие всего
необходимого персонала с соответствующим уровнем подготовки с
предоставлением им соответствующих условий труда и уровнем оплаты.
План сбыта. Эта составляющая бизнес-плана должна отображать все
факторы, влияющие на реализацию продукции. Необходимо описать
основные принципы ценообразования в зависимости от уровня спроса,
издержек на производство и реализацию продукта, цен на соответствующую
продукцию конкурентов, имиджа вашего предприятия. Дать характеристику
потенциальному покупателю вашей продукции (услуг). Кроме того, важно
учесть факторы, способные повлиять на сбыт – сезонные изменения спроса,
скидки (как для оптовых, так и для розничных покупателей), условия оплаты
(например, возможность покупки в кредит) и так далее.
Финансовый план. Данный раздел бизнес-плана предполагает
описание основных пунктов финансовых данных: затрат подготовительного
и основных периодов, расчетов финансовых поступлений от проекта,
расчетов налоговых платежей, финансовых прогнозов. Т.е., другими словами,
за основу финансового плана берется отчетность по расходам и доходам,
план движения денежных средств и баланс предприятия (финансовое
положение на конкретный момент времени).
Для привлечения инвестиций, то в этом разделе бизнес-плана также
должна быть подробно отображена такая информация: сроки окупаемости,
индексы доходности, а также раскрыть вопросы об уровне ответственности
заемщиков, системы гарантий по своевременным выплатам, график этих
выплат и прочие.
Анализ чувствительности проекта. Составляющая бизнес-плана, в
которой рассчитывается устойчивость проекта к возможным внешним
экономическим изменениям (инфляция, несвоевременные выплаты
потребителей), и внутренним (изменение цены продукции, объема сбыта). А
также определяется граница безубыточности, т.е. тот уровень, на котором
предприятие будет иметь нулевой доход.
102
Экологическая и нормативная информация. В бизнес-плане также
необходимо описать экологический аспект проекта и набор нормативных
документов (с указанием сроков их получения), разрешающих производство.
Приложения. Данный раздел существует в бизнес-плане для такого,
чтобы разгрузить основные пункты от расчетов, таблиц, графиков, правовых
документов и так далее.
103
Контрольные вопросы
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
Дайте определение основных фондов предприятия?
Приведите классификацию основных фондов.
Что такое активная и пассивная части основных фондов?
Что такое норма амортизации?
Перечислите существующие виды износа, и чем они отличаются?
Что такое амортизационные отчисления и для чего они служат?
Каковы методы определения величины амортизационных отчислений?
Что показывают коэффициенты фондоотдачи и фондоемкости?
Какие показатели характеризуют изменения структуры основных фондов
предприятия?
Дайте определение оборотных фондов?
Каков состав оборотных средств?
Каковы источники формирования оборотных средств?
Что такое структура оборотных средств?
Дайте определение производственного запаса и запишите формулу его
расчета.
Что обозначает понятие среднедневная потребность в материале?
Коэффициент использования сырья должен увеличиваться или
уменьшаться, почему?
Какая роль коэффициента оборачиваемости в деятельности предприятия.
Назовите факторы, влияющие на оборачиваемость оборотных средств.
Каковы элементы тарифной системы оплаты труда?
Основные формы заработной платы.
Системы сдельной формы оплаты труда.
Системы повременной оплаты труда.
Что такое индивидуальная сдельная расценка?
Что такое звеньевая сдельная расценка?
Как определяется косвенная сдельная расценка?
Как определяется заработная плата при прямой сдельной оплате труда?
Как определяется зарплата при косвенно-сдельной оплате труда?
Определение заработной платы при повременной оплате труда?
Перечислите варианты расчета производительности труда.
Что такое мощность предприятия?
Какие фонды времени существуют?
Что показывает коэффициент сопряженности?
Как определяется производственная мощность предприятия на конец
года?
Как
определяется
среднегодовая
производственная
мощность
предприятия?
Что такое коэффициент сменности оборудования и как он определяется?
Какие факторы воздействуют на мощность предприятия?
Что такое объём валовой продукции?
Что такое объём товарной продукции?
Перечислите виды издержек производства.
104
40.
41.
42.
43.
44.
45.
46.
Какие существуют виды себестоимости продукции?
Нормативы отчисления в единый социальный налог.
Что такое общепроизводственные накладные расходы?
Каковы методы планирования себестоимости продукции?
Что такое рентабельность производства?
В чем разница между доходом и прибылью?
Какая роль средних издержек в принятии руководством решении
относительно экономии сырья и материалов?
105
Тесты
a.
b.
c.
d.
a.
b.
c.
d.
a.
b.
c.
d.
a.
b.
c.
d.
1. Основные производственные фонды это:
средства труда, которые вовлечены в производственный процесс,
функционируют во многих производственных циклах, сохраняя при этом
свою натурально вещественную форму, и переносят свою стоимость на
стоимость готовой продукции по частям
процесс постоянного перенесения стоимости основных фондов на
производимую продукцию в целях накопления средств для полного их
восстановления (реновации)
выпуск продукции, приходящейся на 1 рубль стоимости основных фондов
доля стоимости основных фондов, приходящаяся на каждый рубль
выпускаемой продукции
2. Оборотные фонды это:
предметы труда, которые целиком потребляются в однократном процессе
производства, изменяют свою форму, полностью переносят свою
стоимость на готовый продукт и стоимость которых возмещается после
каждого производственного цикла
сумма нормирования производственных запасов, нормирования
незавершенного производства и нормирования запасов готовой продукции
фактический расход материальных ресурсов на единицу продукции в
натуральном или стоимостном её измерении
произведение объема среднедневного
выпуска продукции по
производственной себестоимости, общей длительности производственного
цикла и коэффициента нарастания затрат
3. Плановая численность основных работников –
отношение объема валовой продукции в нормо-часах к эффективному
фонду основного рабочего времени в плановом периоде
определяется количеством продукции, производимой в единицу рабочего
времени
выражает затраты рабочего времени на производство единицы продукции
отношение количества продукции к численности основного персонала
4. При простой сдельной оплате труда, заработок…
определяется по расценкам за единицу произведённой продукции
определяется произведением индивидуальной сдельной расценки и
количества произведённой продукции за расчётный период
определяется по прямым сдельным расценкам в пределах выполнения
норм, а при выработке сверх норм — по повышенным расценкам
определяется суммой часовой (дневной) тарифной ставки рабочего
данного разряда и отработанного времени в данном периоде
106
a.
b.
c.
d.
a.
b.
c.
d.
a.
b.
c.
d.
5. Производственная мощность предприятия –
максимально возможный годовой выпуск продукции в плановом
ассортименте, рассчитанный с учетом полного использования
производственного оборудования и площадей при условии эффективного
режима работы, передовой технологии и рациональной организации
производства и труда
произведение количества рабочих дней в расчетном периоде, умноженном
на количество расчетных часов в сутки (принятый график работы), из
которого следует вычесть количество нерабочих часов (с учетом
сокращения рабочего времени в предпраздничные и праздничные дни)
средняя арифметическая взвешенная всего работавшего оборудования за
один день
рассчитывается как максимально возможная при заданном режиме
сменности за вычетом времени, выполнения ремонтных работ и операций,
а также межремонтного обслуживания. Это время устанавливается в
процентах к режимному фонду (процент может изменяться от 2 до 12)
6. Издержки…
представляют собой стоимостную оценку используемых в процессе
производства продукции (работ, услуг) природных ресурсов, сырья,
материалов, топлива, энергии, основных фондов, трудовых ресурсов, а
также других затрат на её производство и реализацию
не зависят непосредственно от величины и структуры производства и
реализации продукции
денежное выражение затрат производственных факторов, необходимых
для
осуществления
предприятием
своей
производственной
и
коммерческой деятельности
непосредственно зависят от объёма производства и реализации продукции,
а также от структуры издержек при производстве и реализации нескольких
видов продукции
7. Амортизация это:
средства труда, которые вовлечены в производственный процесс,
функционируют во многих производственных циклах, сохраняя при этом
свою натурально вещественную форму, и переносят свою стоимость на
стоимость готовой продукции по частям
выпуск продукции, приходящейся на 1 рубль стоимости основных фондов
процесс постоянного перенесения стоимости основных фондов на
производимую продукцию в целях накопления средств для полного их
восстановления (реновации)
доля стоимости основных фондов, приходящаяся на каждый рубль
выпускаемой продукции
107
a.
b.
c.
d.
a.
b.
c.
d.
a.
b.
c.
d.
a.
b.
c.
d.
8. Нормирование оборотных средств это
предметы труда, которые целиком потребляются в однократном процессе
производства, изменяют свою форму, полностью переносят свою
стоимость на готовый продукт и стоимость которых возмещается после
каждого производственного цикла
фактический расход материальных ресурсов на единицу продукции в
натуральном или стоимостном её измерении
сумма нормирования производственных запасов, нормирования
незавершенного производства и нормирования запасов готовой продукции
произведение объема среднедневного
выпуска продукции по
производственной себестоимости, общей длительности производственного
цикла и коэффициента нарастания затрат
9. Производительность труда –
отношение объема валовой продукции в нормо-часах к эффективному
фонду основного рабочего времени в плановом периоде
выражает затраты рабочего времени на производство единицы продукции
определяется количеством продукции, производимой в единицу рабочего
времени
отношение количества продукции к численности основного персонала
10. Заработок рабочего при простой сдельной оплате труда…
определяется по расценкам за единицу произведённой продукции
определяется по прямым сдельным расценкам в пределах выполнения
норм, а при выработке сверх норм — по повышенным расценкам
определяется произведением индивидуальной сдельной расценки и
количества произведённой продукции за расчётный период
определяется суммой часовой (дневной) тарифной ставки рабочего
данного разряда и отработанного времени в данном периоде
11. Фонд режимный (номинальный) –
максимально возможный годовой выпуск продукции в плановом
ассортименте, рассчитанный с учетом полного использования
производственного оборудования и площадей при условии эффективного
режима работы, передовой технологии и рациональной организации
производства и труда
произведение количества рабочих дней в расчетном периоде, умноженном
на количество расчетных часов в сутки (принятый график работы), из
которого следует вычесть количество нерабочих часов (с учетом
сокращения рабочего времени в предпраздничные и праздничные дни)
средняя арифметическая взвешенная всего работавшего оборудования за
один день
рассчитывается как максимально возможная при заданном режиме
сменности за вычетом времени, выполнения ремонтных работ и операций,
а также межремонтного обслуживания. Это время устанавливается в
процентах к режимному фонду (процент может изменяться от 2 до 12)
108
a.
b.
c.
d.
a.
b.
c.
d.
a.
b.
c.
d.
a.
b.
c.
d.
12. Себестоимость продукции (работ, услуг) –
представляет собой стоимостную оценку используемых в процессе
производства продукции (работ, услуг) природных ресурсов, сырья,
материалов, топлива, энергии, основных фондов, трудовых ресурсов, а
также других затрат на её производство и реализацию
денежное выражение затрат производственных факторов, необходимых
для
осуществления
предприятием
своей
производственной
и
коммерческой деятельности
не зависит непосредственно от величины и структуры производства и
реализации продукции
непосредственно зависит от объёма производства и реализации продукции,
а также от структуры издержек при производстве и реализации нескольких
видов продукции
13. Фондоотдача это
средства труда, которые вовлечены в производственный процесс,
функционируют во многих производственных циклах, сохраняя при этом
свою натурально вещественную форму, и переносят свою стоимость на
стоимость готовой продукции по частям
выпуск продукции, приходящейся на 1 рубль стоимости основных фондов
процесс постоянного перенесения стоимости основных фондов на
производимую продукцию в целях накопления средств для полного их
восстановления (реновации)
доля стоимости основных фондов, приходящаяся на каждый рубль
выпускаемой продукции
14. Материалоемкость это
предметы труда, которые целиком потребляются в однократном процессе
производства, изменяют свою форму, полностью переносят свою
стоимость на готовый продукт и стоимость которых возмещается после
каждого производственного цикла
фактический расход материальных ресурсов на единицу продукции в
натуральном или стоимостном её измерении
сумма нормирования производственных запасов, нормирования
незавершенного производства и нормирования запасов готовой продукции
произведение объема среднедневного
выпуска продукции по
производственной себестоимости, общей длительности производственного
цикла и коэффициента нарастания затрат
15. Трудоемкость продукции –
отношение объема валовой продукции в нормо-часах к эффективному
фонду основного рабочего времени в плановом периоде
определяется количеством продукции, производимой в единицу рабочего
времени
отношение количества продукции к численности основного персонала
выражает затраты рабочего времени на производство единицы продукции
109
a.
b.
c.
d.
a.
b.
c.
d.
a.
b.
c.
d.
16. При сдельно-прогрессивной системе оплаты, заработок…
определяется по расценкам за единицу произведённой продукции
определяется по прямым сдельным расценкам в пределах выполнения
норм, а при выработке сверх норм – по повышенным расценкам
определяется произведением индивидуальной сдельной расценки и
количества произведённой продукции за расчётный период
определяется суммой часовой (дневная) тарифной ставки рабочего данного
разряда и отработанного времени в данном периоде
17. Фонд эффективный (действительный) –
максимально возможный годовой выпуск продукции в плановом
ассортименте, рассчитанный с учетом полного использования
производственного оборудования и площадей при условии эффективного
режима работы, передовой технологии и рациональной организации
производства и труда
произведение количества рабочих дней в расчетном периоде, умноженном
на количество расчетных часов в сутки (принятый график работы), из
которого следует вычесть количество нерабочих часов (с учетом
сокращения рабочего времени в предпраздничные и праздничные дни)
средняя арифметическая взвешенная всего работавшего оборудования за
один день
рассчитывается как максимально возможный при заданном режиме
сменности за вычетом времени, выполнения ремонтных работ и операций,
а также межремонтного обслуживания. Это время устанавливается в
процентах к режимному фонду (процент может изменяться от 2 до 12)
18. Постоянные издержки…
денежное выражение затрат производственных факторов, необходимых
для
осуществления
предприятием
своей
производственной
и
коммерческой деятельности
представляет собой стоимостную оценку используемых в процессе
производства продукции (работ, услуг) природных ресурсов, сырья,
материалов, топлива, энергии, основных фондов, трудовых ресурсов, а
также других затрат на её производство и реализацию
непосредственно зависят от объёма производства и реализации продукции,
а также от структуры издержек при производстве и реализации нескольких
видов продукции
не зависят непосредственно от величины и структуры производства и
реализации продукции
19. Фондоёмкость это
a. средства труда, которые вовлечены в производственный процесс,
функционируют во многих производственных циклах, сохраняя при этом
свою натурально вещественную форму, и переносят свою стоимость на
стоимость готовой продукции по частям
110
b. процесс постоянного перенесения стоимости основных фондов на
производимую продукцию в целях накопления средств для полного их
восстановления (реновации)
c. выпуск продукции, приходящейся на 1 рубль стоимости основных фондов
d. доля стоимости основных фондов, приходящаяся на каждый рубль
выпускаемой продукции
a.
b.
c.
d.
a.
b.
c.
d.
a.
b.
c.
d.
20. Норматив оборотных средств для незавершенного производства это
предметы труда, которые целиком потребляются в однократном процессе
производства, изменяют свою форму, полностью переносят свою
стоимость на готовый продукт и стоимость которых возмещается после
каждого производственного цикла
сумма нормирования производственных запасов, нормирования
незавершенного производства и нормирования запасов готовой продукции
фактический расход материальных ресурсов на единицу продукции в
натуральном или стоимостном её измерении
произведение объема среднедневного
выпуска продукции по
производственной себестоимости, общей длительности производственного
цикла и коэффициента нарастания затрат
21. Выработка одного рабочего –
отношение объема валовой продукции в нормо-часах к эффективному
фонду основного рабочего времени в плановом периоде
отношение количества продукции к численности основного персонала
определяется количеством продукции, производимой в единицу рабочего
времени
выражает затраты рабочего времени на производство единицы продукции
22. При простой повременной системе оплаты, заработок…
определяется по расценкам за единицу произведённой продукции
определяется произведением индивидуальной сдельной расценки и
количества произведённой продукции за расчётный период
определяется по прямым сдельным расценкам в пределах выполнения
норм, а при выработке сверх норм – по повышенным расценкам
определяется суммой часовой (дневной) тарифной ставки рабочего
данного разряда и отработанного времени в данном периоде
23. Коэффициент сменности работающего оборудования –
a. максимально возможный годовой выпуск продукции в плановом
ассортименте, рассчитанный с учетом полного использования
производственного оборудования и площадей при условии эффективного
режима работы, передовой технологии и рациональной организации
производства и труда
b. произведение количества рабочих дней в расчетном периоде, умноженном
на количество расчетных часов в сутки (принятый график работы), из
111
которого следует вычесть количество нерабочих часов (с учетом
сокращения рабочего времени в предпраздничные и праздничные дни)
c. средняя арифметическая взвешенная всего работавшего оборудования за
один день
d. рассчитывается как максимально возможный при заданном режиме
сменности за вычетом времени, выполнения ремонтных работ и операций,
а также межремонтного обслуживания. Это время устанавливается в
процентах к режимному фонду (процент может изменяться от 2 до 12)
a.
b.
c.
d.
24. Переменные издержки –
денежное выражение затрат производственных факторов, необходимых
для
осуществления
предприятием
своей
производственной
и
коммерческой деятельности
непосредственно зависят от объёма производства и реализации продукции,
а также от структуры издержек при производстве и реализации нескольких
видов продукции
представляет собой стоимостную оценку используемых в процессе
производства продукции (работ, услуг) природных ресурсов, сырья,
материалов, топлива, энергии, основных фондов, трудовых ресурсов, а
также других затрат на её производство и реализацию
не зависят непосредственно от величины и структуры производства и
реализации продукции
112
Литература
1. Конституция Российской Федерации от 12 декабря 1993 года (с изм.,
внесенными Указами Президента РФ от 09.01.1996 N 20, от 10.02.1996 N 173,
от 09.06.2001 N 679, от 25.07.2003 N 841, Федеральным конституционным
законом от 25.03.2004 N 1-ФКЗ, Законами РФ о поправках к Конституции РФ
от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ).
2. Федеральный закон от 28.12.2010 N 390-ФЗ "О безопасности".
3. Федеральный закон от 21.07.1993 N 5485-1 "О государственной
тайне" (в ред. Федеральных законов от 06.10.1997 N 131-ФЗ, от 30.06.2003 N
86-ФЗ, от 11.11.2003 N 153-ФЗ, от 29.06.2004 N 58-ФЗ, от 22.08.2004 N 122ФЗ, от 01.12.2007 N 294-ФЗ, от 01.12.2007 N 318-ФЗ, от 18.07.2009 N 180-ФЗ,
от 15.11.2010 N 299-ФЗ, от 18.07.2011 N 242-ФЗ, от 19.07.2011 N 248-ФЗ, от
08.11.2011 N 309-ФЗ, с изм., внесенными Постановлением Конституционного
Суда РФ от 27.03.1996 N 8-П, определениями Конституционного Суда РФ от
10.11.2002 N 293-О, от 10.11.2002 N 314-О).
4. Федеральный закон от 9.07.2004 № 98-ФЗ «О коммерческой тайне»
(в ред. Федеральных законов от 02.02.2006 N 19-ФЗ, от 18.12.2006 N 231-ФЗ,
от 24.07.2007 N 214-ФЗ, от 11.07.2011 N 200-ФЗ).
5. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.04.2011) "Об
информации, информационных технологиях и о защите информации" (в ред.
Федеральных законов от 27.07.2010 N 227-ФЗ, от 06.04.2011 N 65-ФЗ).
6. "Доктрина информационной безопасности Российской Федерации"
(утв. Президентом РФ 09.09.2000 N Пр-1895).
7. Указ Президента РФ от 12.05.2009 N 537 "О Стратегии национальной
безопасности Российской Федерации до 2020 года".
8. Указ Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005) "Об
утверждении Перечня сведений конфиденциального характера".
9. "Защита информации. Основные термины и определения. ГОСТ Р
50922-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 373-ст).
10. Жигулин Г.П., Швед В.Г. Организация защиты информации в
органах власти. Учебное пособие. СПб ГУ ИТМО, 2008.
11. Жигулин Г.П., Романов О.А. Правовая основа информационной
безопасности. Учебное пособие. СПб ГУ ИТМО, 2008.
12. Жигулин Г.П. Математическая модель систем защиты информации
для нормативного прогнозирования состояния объектов. – Санкт-Петербург:
Журнал Информационно-Измерительные и управленческие системы, 2009. –
Т. 7. - № 4.
13. Жигулин Г.П. Методический подход к прогнозированию
информационных
атак.
–
Санкт-Петербург:
Журнал
Проблемы
информационной безопасности. Компьютерная система, 2009. – Т. 2.
14. Жигулин
Г.П.
Прогнозирование
информационных
угроз
предприятий,
организаций,
транспорта,
нефтегазодобывающего
и
транспортирующего комплекса на примере прогнозирования стабильности и
113
государства. – Санкт-Петербург: Научный вестник МГТУ ГА, 2009 – № 1391.
15. Жигулин Г.П., Згурский А.С., Корбаинова Е.В. Определение уровня
уязвимости и оценка влияния свойств безопасности актива на деятельность
центра обработки данных. – Санкт-Петербург: Журнал "Проблемы
информационной безопасности. Компьютерные системы.", 2011.
16. Баутов А. Эффективность защиты информации – Открытые
системы, № 07, 2008.
17. Гусев В.С., Демин В.А., Кузин Б.И. Экономика и организация
безопасности хозяйствующих субъектов. – СПб.: Питер, 2008.
18. Гурин О.А., Гурин С.О. Экономическая безопасность организации. –
СПб.: Питер, 2008.
19. НИР «Ущерб» Комплекс нормативно-методических документов, для
определения
размеров
ущерба,
наступившего
в
результате
несанкционированного
распространения
сведений,
составляющих
государственную тайну, а также ущерба, наносимого предприятиям,
учреждениям, организациям и гражданам в связи с засекречиванием
информации, находящейся в их собственности // 46 Центральный научноисследовательский институт МО РФ, 2007.
20. Петренко С.А., Симонов С. Экономически оправданная
безопасность – журнал "IT Manager" № 15(3), 2008.
21. Правовое обеспечение информационной безопасности: учеб.
пособие для студ. учеб. заведений/С.Я. Казанцев, О.Э. Згадзай; Под ред. С.Я.
Казанцева. – М.: Издательский центр «Академия», 2009.
22. Столяров Н.В. Определение экономической эффективности защиты
информации - Безопасность для всех № 5, 2010.
23. Смолян Г.Л., Черешкин Д.С. О формировании информационного
общества в России – Информационное общество. – 2007. – №1.
24. Экономика предприятия: Учебник/Под ред. проф. Сафронова. – М.:
Экономистъ, 2009.
114
СОДЕРЖАНИЕ
стр.
ВВЕДЕНИЕ ....................................................................................................................................4
ГЛАВА 1 ЭКОНОМИЧЕСКИЕ ПРОБЛЕМЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ И
ЗАЩИТЫ ИНФОРМАЦИИ .........................................................................................................6
1.1. Рынок информации. Информация как товар, цена информации. Основные
характеристики продукта – информации, как товара ................................................................6
1.2. Экономические проблемы информационных ресурсов......................................................9
ГЛАВА 2 ЭКОНОМИЧЕСКАЯ БЕЗОПАСНОСТЬ .................................................................16
2.1. Понятие экономической безопасности государства, общества, личности .....................16
2.2. Государственные основы обеспечения экономической безопасности ...........................24
2.3. Роль информации в обеспечении экономической безопасности предприятия
(организации) в рыночных условиях.........................................................................................29
ГЛАВА
3
ЭКОНОМИЧЕСКАЯ
ЭФФЕКТИВНОСТЬ
ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ПОРЯДОК ЕЕ ОПРЕДЕЛЕНИЯ..................35
3.1 Принятие решения руководителем на создание (модернизации) эффективной системы
информационной безопасности .................................................................................................35
3.2 Экономическая эффективность обеспечения информационной безопасности
предприятия (организации) ........................................................................................................45
3.3. Определение экономической эффективности защиты информации...............................51
3.4 Виды и степень ущерба, наносимые обладателю информации в результате ограничения
доступа к ней................................................................................................................................53
ГЛАВА 4 ПОРЯДОК ОПРЕДЕЛЕНИЯ ЗАТРАТ НА ЗАЩИТУ ИНФОРМАЦИИ..............64
4.1. Прямые и косвенные затраты на защиту информации предприятия (организации) .....64
ПРАКТИЧЕСКИЕ ЗАНЯТИЯ ....................................................................................................75
Практическое занятие № 1. Основные фонды предприятия ...................................................75
Задачи ...........................................................................................................................................77
Практическое занятие № 2. Оборотные фонды предприятия .................................................81
Задачи ...........................................................................................................................................83
Практическое занятие № 3. Оплата труда.................................................................................86
Задачи ...........................................................................................................................................89
Практическое занятие № 4. Производственная мощность предприятия ...............................92
Задачи ...........................................................................................................................................94
Практическое занятие № 5. Издержки производства и себестоимость продукции..............97
Задачи ...........................................................................................................................................98
Требования к бизнес-плану ......................................................................................................101
Контрольные вопросы...............................................................................................................104
Тесты...........................................................................................................................................106
Литература .................................................................................................................................113
115